🛡️Satisfait ou remboursé

Deepthix
← Retour au blog
tech24 février 2026

Comment Discord, Twitch et Snapchat se font bypasser sur la vérification d’âge

Les géants comme Discord, Twitch et Snapchat imposent la vérification d’âge. Sauf qu’un simple script peut les contourner. On décortique la faille k‑ID, les risques réels et ce que ça veut dire pour ton business.

Les plateformes sociales ont enfin découvert qu’il y a des mineurs sur Internet. Résultat : avalanche de lois, de scans de visage, de pièces d’identité demandées… et une promesse : “ne t’inquiète pas, c’est sécurisé”.

Sauf qu’un dev un peu motivé vient de prouver l’inverse avec un simple script qui plante un gros drapeau rouge sur Discord, Twitch, Snapchat & co.

On va parler de la faille de vérification d’âge basée sur k‑ID, de pourquoi ces systèmes sont structurellement fragiles, et surtout de ce que tu dois en tirer comme leçon si tu construis un produit ou si tu automatises ton business.

Spoiler : ce n’est pas une histoire de “hackers méchants”, c’est une histoire de mauvais design de système.

---

1. Le contexte : Discord, Twitch, Snapchat sous pression politique

Avant de parler de la faille, il faut comprendre pourquoi ces plateformes ont déployé ces usines à gaz.

  • Discord déploie une vérification d’âge globale depuis 2026 : selfie vidéo, pièce d’identité ou modèle prédictif basé sur ton comportement. Si tu ne passes pas, tu es bloqué en mode “ado”.
  • Twitch impose un scan facial au Royaume‑Uni pour accéder à certains contenus « matures ».
  • Snapchat en Australie doit respecter une loi qui interdit les réseaux sociaux aux moins de 16 ans, sauf vérification d’âge solide.

Sur le papier, ça rassure les régulateurs et les parents. Dans la réalité :

  • des faux positifs (adultes bloqués comme mineurs),
  • des fuites de données (70 000 photos d’ID exposées chez un prestataire de Discord en 2025),
  • et maintenant, des bypass automatisés.

Les États se font plaisir avec des lois symboliques, les big tech cochent les cases de conformité, et les devs montrent à quel point tout ça tient avec du scotch.

---

2. Comment fonctionne k‑ID (la brique utilisée par Discord & co)

La page de la faille (https://age-verifier.kibty.town/) explique un point clé : k‑ID ne stocke pas ton visage, mais envoie un paquet de métadonnées à un prestataire de reconnaissance faciale (FaceAssure).

Par exemple :

  • des vecteurs de prédiction (des nombres qui représentent une estimation d’âge),
  • des infos sur le processus (timeline des étapes, vitesse d’ouverture des yeux, etc.),
  • des identifiants techniques (appareil, caméra, timestamp…).

Bonne nouvelle pour la vie privée : pas de vidéo brute qui part sur un serveur lointain.

Mauvaise nouvelle pour la sécurité :

Si tu sais à quoi ressemble un paquet de métadonnées valide, tu peux en fabriquer un.

Et c’est exactement ce qui s’est passé.

---

3. La faille : simuler un adulte sans jamais montrer son visage

Les devs derrière le script expliquent la logique :

Étape 1 : reproduire le chiffrement

Le client envoie au serveur un encrypted_payload avec :

  • un cipher AES‑GCM,
  • une clé dérivée via HKDF (SHA‑256) à partir de nonce + timestamp + transaction_id,
  • des champs comme auth_tag, iv, timestamp.

Rien de magique : c’est de la crypto standard. En observant une requête légitime, tu peux reproduire exactement le même schéma côté client.

Résultat : tu peux générer un paquet chiffré qui ressemble en tout point à un paquet “officiel”.

Étape 2 : fabriquer des prédictions d’âge crédibles

Le serveur ne se contente pas de vérifier que le cryptage est bon. Il regarde le contenu :

  • raws : les valeurs brutes sorties du modèle de reconnaissance faciale,
  • primaryOutputs et outputs : des dérivés de raws après filtrage des valeurs extrêmes (z‑score une ou deux fois).

Les devs ont compris que :

  • primaryOutputs et outputs sont dérivables à partir de raws,
  • les valeurs doivent suivre une certaine distribution statistique cohérente avec un visage adulte,
  • certains champs comme xScaledShiftAmt et yScaledShiftAmt ne sont pas aléatoires, mais prennent seulement deux valeurs possibles.

En gros :

Si tu comprends les règles du jeu statistique, tu peux générer des nombres qui passent pour un vrai scan d’adulte.

Étape 3 : contourner le patch

Après une première vague de bypass (un autre script, par « amplitudes »), le prestataire FaceAssure a tenté un patch discret :

  • vérifier la cohérence de champs comme recordedOpennessStreak, recordedSpeeds, failedOpennessReadings, etc.

L’idée : s’assurer que la façon dont tu ouvres/fermes les yeux, les ratés, les vitesses, tout ça correspond à un vrai humain.

Sauf que :

  • ces valeurs restent prédictibles et corrélées,
  • donc avec un peu de reverse‑engineering, tu peux encore fabriquer des données qui ont l’air cohérentes.

Résultat :

Le script a été patché… puis re‑bypassé. Le jeu du chat et de la souris continue.

Et pendant ce temps, les régulateurs continuent de vendre ça comme une solution miracle.

---

4. Pourquoi ces systèmes sont structurellement fragiles

Le problème n’est pas k‑ID en particulier. C’est le modèle entier de la vérification d’âge biométrique.

4.1. Tu veux de la vie privée ? Tu perds en sécurité

Deux options :

  1. Tu envoies la vidéo brute sur le serveur → gros risque RGPD, fuites, scandales.
  2. Tu envoies seulement des métadonnées dérivées → mieux pour la vie privée, mais plus facile à simuler.

k‑ID a choisi (2). Techniquement cohérent. Mais ça ouvre la porte aux scripts comme l’age‑verifier.

4.2. Tu veux de la sécurité ? Tu crées un “identity honeypot”

Discord a déjà prouvé à quel point c’est fragile :

  • un prestataire tiers s’est fait hacker, exposant 70 000 photos de pièces d’identité.

Plus tu centralises de données d’identité, plus tu crées un trésor pour les attaquants.

Les États adorent, les avocats aussi. L’utilisateur moyen, lui, n’a rien demandé.

4.3. Les algos d’estimation d’âge sont biaisés et approximatifs

Les études sur ces technos (comme le trial australien) sont claires :

  • les erreurs sont inévitables, surtout autour de la frontière d’âge (16–18 ans),
  • les faux refus sont plus fréquents pour certains types de visages (peaux foncées, traits “non standards”).

On a déjà des cas concrets :

  • un gamin de 14 ans validé comme 25 ans par Snapchat,
  • un autre de 15 ans passé comme majeur par le système visuel.

Pendant ce temps, des adultes bien réels se retrouvent bloqués comme “trop jeunes” sur Discord.

Bref : ces systèmes sont à la fois contournables par des ados débrouillards et punitifs pour des gens qui respectent les règles.

---

5. Ce que ça veut dire pour toi, fondateur ou indie hacker

Tu n’es peut‑être pas en train de construire le prochain Discord, mais tu peux apprendre énormément de ce fiasco.

5.1. Ne jamais confondre conformité et sécurité

Les grandes boîtes optimisent pour :

  • faire plaisir aux régulateurs,
  • cocher des cases dans des PDFs de conformité,
  • publier des communiqués rassurants.

Toi, tu dois optimiser pour :

  • réduire réellement le risque,
  • minimiser la surface d’attaque,
  • et protéger tes users sans leur pourrir la vie.

Si tu copies les patterns des GAFAM sans réfléchir, tu importes leurs problèmes, pas leur puissance.

5.2. Design de système : collecte le minimum de données

Règle simple :

Ne collecte jamais une donnée que tu n’es pas prêt à voir fuiter demain.

Pour un produit B2C ou une plateforme :

  • Si tu as besoin de vérifier l’âge, vise un signal binaire (oui/non), pas la date de naissance complète.
  • Externalise si besoin, mais avec :

5.3. Automatiser sans créer une bombe à retardement

Tu veux automatiser l’onboarding, la modération, la KYC, la facturation ? Parfait, c’est littéralement ce qu’on fait chez Deepthix.

Mais fais‑le intelligemment :

  • Découpe ton flux :
  • Trace tout : logs, décisions automatiques, seuils utilisés.
  • Prévois le plan B : que se passe‑t‑il si un prestataire externe se fait hacker ? Si son API tombe ?

Les gros groupes adorent les process lourds et les comités. Toi, tu peux être agile et parano (dans le bon sens) : tester, mesurer, ajuster vite.

---

6. Cas pratiques : comment appliquer ces leçons dans ton produit

Cas 1 : Tu gères une plateforme avec contenu adulte

Mauvaise idée :

  • imposer un scan facial complet à tous tes users, stocker les données chez un sous‑traitant obscur, et espérer que tout ira bien.

Approche plus saine :

  1. Filtrage soft par défaut :
  2. Vérification en couches :
  3. Automatisation IA :

Cas 2 : Tu fais de la KYC / onboarding client

Tu peux utiliser l’IA pour :

  • extraire automatiquement les infos des pièces d’identité,
  • vérifier la cohérence (nom, pays, format),
  • scorer le risque.

Mais :

  • ne garde pas les documents bruts plus longtemps que nécessaire,
  • chiffre tout par défaut,
  • loggue les décisions (pour pouvoir expliquer un refus si besoin).

Ce que montre la faille k‑ID, c’est qu’un système trop opaque, trop centralisé et trop "magique" devient ingérable à grande échelle.

---

7. IA, sécurité et liberté : où se placer quand tu build

Tu peux être pro‑technologie, pro‑IA, pro‑business sans tomber dans le délire du contrôle total.

Les plateformes qui sur‑réagissent à la pression politique finissent par :

  • dépenser des fortunes dans des systèmes bancals,
  • se prendre des hacks massifs,
  • frustrer les utilisateurs honnêtes,
  • tout en laissant les plus débrouillards passer entre les mailles du filet.

Toi, en tant qu’entrepreneur :

  • utilise l’IA pour augmenter l’humain, pas pour fliquer tout le monde,
  • automatise tout ce qui est répétitif, mais garde un contrôle humain sur les points critiques,
  • privilégie les systèmes simples, audibles, testables.

La vraie force, ce n’est pas un mur biométrique fragile. C’est un système clair, modulaire, mesurable, que tu peux faire évoluer vite.

---

8. Ce que tu peux faire dès cette semaine

Si tu as déjà un produit en ligne ou en construction, pose‑toi ces questions :

  1. Quelles données sensibles je collecte pour rien ?
  2. Quel est mon “identity honeypot” potentiel ? (une base clients, des pièces d’identité, des selfies…)
  3. Qu’est‑ce que je peux automatiser intelligemment avec l’IA pour réduire le risque humain (erreurs, accès inutiles) tout en gardant le contrôle ?
  4. Quels prestataires tiers ont accès à quoi ? Tu serais à l’aise si tout ça se retrouvait sur Pastebin demain ?

Si la réponse te met mal à l’aise, c’est le bon moment pour revoir ton architecture.

Et si tu veux aller plus loin, c’est littéralement ce qu’on fait tous les jours : on aide des fondateurs, freelances et PME à automatiser sans se tirer une balle dans le pied.

---

Tu veux automatiser tes opérations avec l'IA ? Réserve un call de 15 min pour en discuter.

vérification d’âge Discordk-ID faille sécuritéage verification bypasssécurité biométrique SnapchatTwitch facial scan risk

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call