Cdiscount avait instauré un système de vote en ligne pour son concours de court-métrages, mais le site officiel, très peu sécurisé, a été détourné : des internautes ont réussi à trafiquer les votes pour gonfler les statistiques. Cdiscount a préféré laisser tomber complètement ce prix du public.

Cdiscount a été contraint d’abandonner, ce 6 novembre 2019, la catégorie «  Coup de Cœur du Public » de son concours de courts-métrages Festival21, a annoncé l’entreprise avec son compte Twitter officiel.

L’entreprise française de e-commerce avait lancé en octobre un concours de création vidéo, parrainé par le youtubeur Cyprien. Elle promettait de coquettes sommes pour les vainqueurs, réparties en deux catégories : le prix du jury (4 000 € et 2 000 € pour les deux premiers) et le prix Coup de cœur du public (6 000 € et 3 000 €). Cette dernière récompense devait être remise aux vidéastes qui remportaient le plus de voix sur le site internet officiel du Festival21.

Mais rien ne s’est passé comme prévu — ou plutôt, quand on connaît un peu la malice des internautes, tout s’est malheureusement passé comme prévu, au vu du très faible niveau de sécurité mis en place sur le site.

Des milliers de faux votes en ligne

Un ou plusieurs internautes ont en effet réussi à altérer sans mal le compteur des votes en ligne, générant des chiffres beaucoup trop hauts par rapport à la normale.

Sur la page principale du concours Festival21, la première vidéo intitulée « La guerre c’est génial » avait par exemple recueilli 223 000 votes, a-t-on pu constater vers 17 heures ce 6 novembre. Pourtant lorsqu’on clique sur la vidéo en question, on observe qu’elle n’a, en réalité, été visionnée que 2  500 fois sur YouTube. Ce ratio montre bien combien les votes en ligne ne peuvent pas, techniquement, représenter la réalité. Parmi les autres centaines de courts-métrages qui ont été présentés, un grand nombre a également atteint les 20 000 vues en moins de 24 heures, ce que Cdiscount estime être « beaucoup trop gros pour être vrai ».

« Nos investigations nous ont amené (sic) sur la piste d’utilisation frauduleuse de robots permettant de multiplier le nombre de vote (sic) sur le site festival21-cdiscount.com. Dans ces conditions, nous ne pouvons maintenir le prix ‘Coup de Cœur du Public’», a indiqué l’entreprise.

Des grosses failles sur le site officiel

Alors que s’est-il passé ? Le site du concours du Festival21 avait en fait de nombreuses failles béantes, que des internautes ne se sont pas privés de pointer du doigt et d’exploiter.

La première était exploitable par quiconque dispose de quelques connaissances basiques du web : il suffisait de passer sa fenêtre en « navigation privée » (ce qui permet de masquer l’historique de recherche et éviter la pose de cookies une fois la session fermée) pour pouvoir voter plusieurs fois pour la même vidéo. Il était donc possible, manuellement, de tronquer les résultats à petite échelle — avec un peu d’huile de coude et de rafraîchissement de la page, on pouvait faire gagner un vote toutes les 10 secondes à une vidéo.

Mais le processus pouvait également être automatisé, comme nous l’a confirmé Lucas D, un internaute avec qui Numerama s’est entretenu en message privé. Le jeune homme a rédigé un petit script (que nous avons pu consulter) afin d’automatiser cette démarche, théoriquement capable de faire gagner des dizaines de milliers de votes à une vidéo en moins d’une journée.

D’autres internautes semblent avoir trouvé une manière alternative de gonfler les votes de certaines vidéos encore plus rapidement, mais nous n’avons pas réussi à l’identifier.

La réaction de Cdiscount est sans appel : l’entreprise a préféré modifier son règlement plutôt que de tenter de sécuriser le processus de votes. Il n’y aura donc plus de Prix du public, mais quatre Prix du jury. Le site officiel n’avait pas encore été modifié le 6 novembre au soir : il appelait toujours les internautes à voter, mais le bouton était déjà désactivé. Le compteur des votes, lui, avait bien disparu.

Des données personnelles non protégées

Ce problème de votes est déjà bien embêtant pour la marque, mais aussi pour les vidéastes — c’est d’ailleurs l’un d’entre eux qui a alerté Numerama sur cet incident — qui misaient beaucoup sur ce concours et son premier prix de 6 000 euros.

Cependant, d’autres failles plus graves à l’égard de la protection des données personnelles ont été repérées par certains internautes. En à peine quelques clics, il était ainsi possible d’avoir accès à des informations sensibles sur les centaines de participants au concours du Festival21 : leur prénom, nom mais aussi leur adresse mail professionnelle ou personnelle. Numerama a pu observer qu’au moins un internaute a publié les informations privées d’une vidéaste, en clair, sur Twitter.

https://twitter.com/LePalakis/status/1192203462467031040

Après quelques heures, les équipes du site semblent avoir effectué certaines modifications nécessaires. Le 6 novembre au soir, nous avons réitéré une recherche dans la console de Google Chrome (encore une fois, accessible en quelques clics) et constaté que les informations les plus sensibles avaient été cachées. Elles sont toutefois restées accessibles environ 24 heures.

Contacté, Cdiscount n’est pas encore revenu vers nous, autrement que dans un tweet public qui nous est adressé.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !