Votes trafiqués: Cdiscount contraint d’annuler le «prix du public» de son concours de courts-métrages mal sécurisé

Les votes sur Internet sont parfois faussés par manque de sécurité sur les sites. — pjedrzejczyk/ Pixabay

  • Saboté, le prix du public du festival de Cdiscount a dû être annulé.
  • En moins de 24 heures la veille, des vidéos avaient obtenu des centaines de milliers de votes d’internautes, alors que leurs compteurs n’affichaient quelques milliers de vues.
  • Pierre-Yves Popihn, expert en cybersécurité chez NTT Security France, pointe un problème de sécurité autour de ce vote.

Fraude aux urnes. Jeudi 7 novembre, Cdiscount a annoncé l’annulation du prix « Coup de Cœur du Public » de son concours de courts-métrages, le Festival 21. En moins de 24 heures la veille, des vidéos avaient obtenu des centaines de milliers de votes d’internautes, alors que leurs compteurs n’affichaient quelques milliers de vues et parfois même, seulement des centaines. Alertée par des participants en colère sur les réseaux, l’entreprise a suspendu les votes du public et évoqué sur son site un « dysfonctionnement informatique ».

Une déception de taille pour certains comme la YouTubeuse Sauvane, dont le court-métrage était en tête avant l’incident. « Je visais le premier prix du public car c’était une grosse somme (6.000 euros) et que je manque cruellement d’argent pour m’équiper », explique à 20 Minutes celle qui s’était également démenée pour atteindre 2.300 votes. « J’ai posté chaque jour une annonce d’appel aux votes sur toutes mes plateformes (Twitter, Instagram, Facebook, YouTube, Discord) et j’ai même contacté un par un tous mes contacts Facebook pour leur demander leur soutien. »

« J’ai très vite compris qu’il n’y avait pas beaucoup de sécurité sur le site »

Sur Twitter, Cdiscount tente d’expliquer la situation : « Nos investigations nous ont amenés sur la piste d’utilisation frauduleuse de robots permettant de multiplier le nombre de vote sur le site ». Si en apparence, la cyberattaque semble être l’œuvre de pirates informatiques chevronnés ayant infiltré une faille, les faits montrent plutôt que l’entreprise a très mal sécurisé le concours et permis à des petits malins de complètement fausser le vote.

Nous avons pu contacter l’un des internautes ayant justement créé ces fameux robots et ne s’en cachant pas sur les réseaux. « J’ai très vite compris qu’il n’y avait pas beaucoup de sécurité sur le site. Juste en ouvrant une fenêtre de navigation privée, on pouvait voter à nouveau. Plusieurs personnes l’ont compris et ont fait usage de cette première faille. J’ai poussé la recherche plus loin et ai fait quelques lignes de codes dans un langage de programmation relativement simple, qui permettait de voter automatiquement et très rapidement. D’après mes calculs, en un jour une personne aurait pu atteindre facilement 70.000 votes et même beaucoup plus ».

Pas des mesures de sécurité adéquate

Ce dernier dit avoir été contacté par d’autres internautes qui ont eu aussi pu facilement coder ces formes de bots pour distribuer des votes à l’infini. « Quelqu’un a donné des dizaines de milliers de votes à tout le monde », explique Lucas qui assure ne pas participer au concours et n’être affilié à aucun participant. « J’ai fait ça pour montrer que ce genre de concours n’est pas faisable si derrière il n’y a pas des mesures de sécurité adéquate. Ce genre de triche est courante sur Internet même si celle-ci aurait été facile à éviter dans le cas du festival21. »

Un avis partagé par Pierre-Yves Popihn, directeur Technique chez NTT Security France, spécialisée dans la cybersécurité. « Dans cette affaire, on a l’impression que Cdiscount s’est empressé de lancer son concours en ne tenant pas assez compte les questions de risques et d’impacts liées à ce vote et donc en n’intégrant pas assez les aspects de sécurité. La sécurité à 100 % n’existe pas, il existera toujours des moyens de contourner, mais le but c’est surtout de compliquer la tâche aux personnes malveillantes. Le fait de pouvoir voter plusieurs fois dans une fenêtre de navigation privée, c’est à la portée de tout le monde par exemple ! »

Manque d’équité

Un point également dénoncé par certains dans cette affaire. « Le problème du vote du public est qu’une personne un minimum connue aura beaucoup plus de chance de gagner même si son travail est médiocre qu’une personne ayant fait quelque chose de qualité mais n’ayant pas cette même notoriété », estime Lucas.

Un souci que reconnaît Sauvane elle-même. « Le problème de la taille de la communauté rendait le concours inégal ! Par exemple j’ai 25k d’abonnés sur YouTube donc si 10 % de ma communauté vote j’ai de meilleures chances qu’un vidéaste à 1000 abonnés… et ça c’est injuste et je culpabilisais beaucoup vis-à-vis de mes amis qui participent aussi. J’avais l’impression de ne pas être légitime même si j’ai énormément travaillé pour mon film et que je suis fière du résultat. » Un souci d’équité résolut par Cdiscount qui a tout simplement transformé les deux prix du public en deux prix du jury.

By the Web

Manifestation au Liban : Casseroles au balcon, le rendez-vous des opposants au pouvoir

By the Web

Données personnelles : Ces « portes dérobées » que des autorités veulent intégrer aux messageries chiffrées

1 partage