La violation de données de Discord qui a exposé des images de pièces d'identité gouvernementales a relancé l'examen des systèmes de vérification centralisés, avec plusieurs experts de l'industrie pointant les preuves à divulgation nulle de connaissance (ZKPs) comme alternative viable au stockage de données d'identité sensibles.
La société a confirmé qu'un acteur non autorisé a accédé aux systèmes d'un prestataire de services client tiers, exposant les données d'un nombre limité d'utilisateurs, rapporte The Guardian.
Parmi les informations compromises figuraient les noms d'utilisateur, les e-mails, les détails de facturation, les adresses IP, et dans certains cas, des images de pièces d'identité gouvernementales telles que des passeports et des permis de conduire soumis pour la vérification de l'âge.
Discord a déclaré avoir révoqué l'accès du prestataire et fait appel aux forces de l'ordre après l'incident.
Les figures de l'industrie affirment que la violation révèle un problème plus large dans la façon dont les plateformes en ligne gèrent la vérification de l'identité, une pratique qui repose sur la collecte et le stockage de documents personnels.
S'adressant à Yellow.com, Varun Kabra, directeur de la croissance chez Concordium, a noté que ces risques peuvent être significativement réduits lorsque les plateformes évitent de stocker des informations sensibles.
Il a expliqué que les systèmes de preuve à divulgation nulle de connaissance permettent de vérifier les attributs des utilisateurs, tels que l'âge ou la juridiction, sans exiger que les plateformes accèdent ou conservent des documents d'identification.
"Les utilisateurs conservent leurs références cryptées dans leurs portefeuilles locaux, tandis que les fournisseurs d'identité certifiés conservent des copies sécurisées pour la conformité", a déclaré Kabra. "Si Discord avait utilisé des attestations ZK pour la vérification de l'âge au lieu de stocker des scans d'ID, la récente violation n'aurait exposé aucune donnée d'identification personnelle."
Arthur Firstov, directeur commercial chez Mercuryo, a déclaré que l'affaire Discord illustre comment les bases de données centrales restent des cibles attractives pour les attaquants.
"Une fois que les informations sensibles sont stockées dans une base de données, elles deviennent une cible", a-t-il dit, ajoutant que les ZKPs offrent un moyen de prévenir cela en permettant la vérification sans collecte de détails personnels.
"Avec les ZKPs, une plateforme pourrait confirmer qu'une personne répond à certaines exigences, mais les données réelles ne quittent jamais le contrôle de l'utilisateur. Cela signifie qu'il n'y a rien de précieux à voler en premier lieu."
Pour de nombreux défenseurs de la vie privée et professionnels de la sécurité, la violation renforce également le besoin de reconstruire la confiance numérique grâce à des systèmes de vérification axés sur la confidentialité.
Firstov a ajouté que l'utilisation plus large de la technologie à divulgation nulle de connaissance pourrait aider à atteindre cet objectif.
"La confidentialité est ce qui donne aux personnes et aux entreprises la confiance pour interagir en ligne, et la technologie à divulgation nulle de connaissance permet cela en prouvant la confiance sans révéler d'informations", a-t-il dit.
Wes Kaplan, PDG de G-Knot, a déclaré que la violation illustre une faiblesse prévisible dans le paysage de l'identité numérique.
"Collecter des données sensibles centralisées est une responsabilité", a-t-il dit.
Kaplan a noté que si le processus de vérification de l'âge de Discord avait reposé sur des attestations cryptographiques plutôt que sur le téléchargement de documents, il n'y aurait pas eu de base de données exploitable de pièces d'identité personnelles.
"Pour les plateformes largement utilisées, la transition à une vérification de l'identité à divulgation nulle de connaissance n'est plus théorique ; elle devient nécessaire", a-t-il ajouté. "Dans un monde où les violations de données sont inévitables, la seule vraie défense est de rendre l'identité impossible à voler."
Discord, qui compte plus de 200 millions d'utilisateurs actifs mensuels, utilise des outils d'assurance d'âge par reconnaissance faciale dans des marchés tels que le Royaume-Uni et l'Australie.
En vertu des futures réglementations australiennes sur les réseaux sociaux pour les moins de 16 ans, les plateformes devraient offrir plusieurs options de vérification de l'âge et de processus de recours.
Mais les experts disent que tant que l'industrie ne s'éloignera pas des systèmes de vérification basés sur les documents, de telles violations continueront d'exposer les utilisateurs à des risques inutiles.