·
7 years ago
L'équipe communautaire de Riot Europe aurait eu son boulot dans une pochette surprise ?
LoLTracker
Calendrier de l'avent : Quand la bonne idée tourne au désastre
Un calendrier de l'avent sur le jeu. L'idée était bonne, et on pouvait se dire que Riot allait de l'avant. Mais l'histoire ne s'est pas déroulée aussi bien que prévu. Voici un résumé des choses à ne pas faire si vous ne voulez pas ressembler à un énième site d'arnaque sur le jeu...
Merci à Canisback, pour son autorisation de reprendre son topic Reddit, qui a malheureusement été supprimé depuis !
Qu'est-ce qu'il s'est passé ?
Le site de ce calendrier de l'avent n'est pas un sous-domaine du site officiel. Comprenez par là que ce n'est pas quelque chose comme "calendrierdelavent.leagueoflegends.com" ni même simplement un mini-site comme on en voit parfois, qui est alors derrière le domaine, comme par exemple "euw.leagueoflegends.com/fr/calendrierdelavent". À la place, nous avons droit à un "lolcalendrierdelavent.com". Vu comme ça, rien ne dit qu'il s'agit d'un site officiel ou à défaut soutenu par Riot. Il faut donc jeter un oeil au site, communiqué sur le compte Twitter officiel de League of Legends France, ainsi que sur Youtube et sur Facebook (Publications supprimées depuis) :
Le site en question n'inspire pas franchement confiance. Entre les problèmes de style de la page qui font dépasser le contenu sur d'énormes bordures noires...
... Le nom de domaine qui n'a même pas été enregistré par Riot Games, contrairement à leagueoflegends.com et riotgames.com...
... L'absence de certificat de sécurité, pourtant facile à obtenir de nos jours, et présent même sur LoLTracker (C'est dire le retard...)...
... On finit par penser que c'est au mieux de l'amateurisme, et au pire une arnaque.
Le site permettait d'avoir à ses débuts des GIFs, des fonds d'écrans, et des BD. Rien de dangereux, même pour un site louche, à moins de tomber sur un site exploitant des vulnérabilités de navigateurs, mais il y a à ce moment mieux pour procéder, et pour "aguicher" des gens pour qu'ils viennent sur le site qu'un jeu comme League of Legends.
Mais par la suite, les choses ont évolué. Le site a demandé vos informations personnelles (Notamment votre nom complet, votre addresse mail, et votre adresse postale) pour procéder à un tirage au sort en vue de donner des récompenses aux gagnants du tirage.
Les choses commencent à devenir sérieuses, dans la mesure où le formulaire envoie vos données en clair, puisque vous n'êtes pas en https, et vers un tiers qui n'est pas Riot Games :
Aucune information sur le tiers en question, ni sur ce qu'il adviendra de vos données personnelles. Notez qu'à ce moment, Riot enfreint au moins 3 des 5 principes de la loi informatique et libertés, qui impose de préciser ce à quoi les données collectées servent, limitent leur conservation, et nécessitent une sécurisation (Pour le dernier point, vu la nature des données, il n'est pas dit que ça soit un véritable problème, en tout cas aux yeux d'un organisme comme la CNIL).
Et tout ça ne s'arrête malheureusement pas là. Une fois le formulaire complété, vous êtes redirigé sur cette page :
Au-delà du style de la page à nouveau problématique, de la présence d'un "this" en bas de page dont on ignore la provenance et l'utilité, et d'un "Merci <3" qui se retrouve caché dans l'image en haut de page...
... On arrive au pire, à savoir un bouton "En savoir plus", qui vous redirige vers un site d'arnaque, cette fois bien réel.
Sur les forums français, Riot s'est excusé pour cette maladresse. Le tweet et les divers autres contenus mentionnant le calendrier et donnant le lien vers le site ont été supprimés, et ce dernier a été désactivé, n'affichant plus qu'un fond noir.
Comprendre ce qu'il s'est passé...
Alors, qu'est-ce qu'il s'est passé ? Je pense pouvoir vous donner quelques éléments de réponse qui vont au-delà de la réponse standard d'un Rioter. Je précise avant de démarrer qu'il s'agit ici d'hypothèses, et de suppositions basées sur mon expérience personnelle et professionnelle, et sur ma connaissance de Riot. Gardez donc des pincettes, je n'ai pas demandé directement aux Rioters impliqués ce qu'il s'est passé, histoire d'éviter de remuer le couteau dans la plaie.
Commençons donc par le début. Tout d'abord, pourquoi le site n'est pas un sous-domaine ou un mini-site de leagueoflegends.com ? De par la manière de fonctionner de Riot, c'est probablement parce que les développeurs n'avaient pas le temps ou ne pouvaient pas prioriser un petit événement local (Cela ne concernait que la France, pour rappel), face à tout l'événement du solstice, qui lui se déroule à l'échelle mondiale. L'équipe a donc sûrement sous-traité la création du site, n'ayant pas de développeur web dans ses rangs, à ma connaissance. Et vous vous en doutez probablement, il n'est pas question de laisser une société externe accéder aux systèmes informatiques de la maison, pour des raisons évidentes de sécurité (Et dans ce cas de figure, heureusement !). Une personne mal intentionnée pourrait laisser sur le site du code malveillant pour y faire n'importe quoi. Il est toujours possible de vérifier le code pour peu qu'il ne soit pas crypté (Et quand il l'est, c'est rarement bon signe venant d'un prestataire), mais là encore, je doute que Riot avait le temps de le faire.
Je pense donc que nous avons là le travail d'un sous-traitant peu compétent, peu expérimenté, et potentiellement malveillant. Les défauts de style (Icônes qui dépassent, mots cachés dans une image, etc...) trahissent soit de l'insouciance, soit de l'incompétence, soit l'absence de vérifications et de tests, soit les trois. Les certificats SSL pour avoir un https comme ici sont aujourd'hui délivrés gratuitement via l'initiative OpenSSL, et il est toujours possible de s'adresser à des organismes privés comme Symantec pour en acheter. Je doute que l'argent nécessaire soit un gros problème pour une entreprise comme Riot. L'absence d'un nom de domaine enregistré par Riot n'est pas trop grave en soit. Là c'est plus de l'ordre du détail, mais quelqu'un qui ferait bien les choses l'aurait fait enregistrer par Riot Games.
Concernant la collecte des données personnelles, j'ai parlé des principes de la loi informatique et liberté, et sachant que personne n'a envie de se faire taper sur les doigts par la CNIL (Les amendes ne font jamais plaisir, et les grands comme Facebook n'échappent pas à la règle), je pense qu'on peut en déduire que le prestataire retenu par Riot n'était peut-être pas français (Le formulaire utilisant des codes anglais, et la présence d'un "this" sur une page, pousse encore plus vers cette piste). Pour finir avec le lien redirigeant vers un site d'arnaque bien réel, c'est pour moi la marque d'un prestataire malveillant. Je vois mal à quel moment on peut utiliser un lien vers un site d'arnaque, même à titre de test.
Alors pourquoi avoir retenu un prestataire pareil ? Eh bien, il y a plusieurs possibilités. Une idée de dernière minute montée dans la précipitation, une méconnaissance du secteur des agences de développement web, un prestataire qui a réussi à embobiner la personne en charge de l'événement, etc... Sur ça il y a de multiples facteurs qui peuvent intervenir pour aboutir à un désastre comme celui-ci. Dommage, ça partait d'une bonne intention, et c'est une initiative qui faisait plaisir à voir (Même si on peut souligner le fait que Riot n'en a pas parlé sur ses propres forums, ou sur le client, pourtant adapté aux actualités françaises même s'il est en anglais).
Si on peut en vouloir à Riot sur ce coup-là, en rire, ou se moquer, il faut toutefois garder à l'esprit que le secteur des agences de développement web n'est pas des plus simples à décrypter. Comme tous les domaines où il y a beaucoup de gens qui ne connaissent pas bien (Ou pas du tout) le fonctionnement de ce qu'ils veulent, certains n'hésitent malheureusement pas à demander des sommes exorbitantes pour des choses qui se font aujourd'hui en quelques heures, ou en quelques dizaines de minutes, et parfois pour un résultat qui laisse à désirer.
Finalement, il vaut peut-être mieux garder le positif de l'histoire à l'esprit, et voir que l'équipe communautaire Française commence à prendre un peu plus d'initiative pour sa communauté. Reste à éviter ce genre de maladresse, et à améliorer la communication sur le sujet. Mes félicitations également à Canisback pour avoir montré avec brio les problèmes de ce site, et aux joueurs que j'ai vu sur les forums d'aide et support (Ainsi que quelques MP m'étant adressés), qui se sont méfiés du site.
À propos de l'auteur
People in conversation:
Loading comment...
The comment will be refreshed after 00:00.
-
This commment is unpublished.
-
This commment is unpublished.
· 7 years agoJ'ai découvert ce site je ne sais plus où (me semble dans un lien d'une vidéo youtube mais je me rappelle vraiment pas) et vu que je le consultais sur mobile l'interface m'avais convaincu. Je prenais plaisir a ouvrir une case chaque jour je trouvais le concept sympa. Puis est venu la case du jeux concours et comme un naïf bah j'ai mis mes infos '-' (je me disais bah gg rito vous nous gâter cette année). Je risque un truc en particulier ? Je dois prévenir le support ou c'est mort ?-
This commment is unpublished.
· 7 years agoNormalement, ton compte n'est pas en danger puisqu'à aucun moment tu n'as dû entrer tes identifiants. Donc prévenir le support ne sert à rien.
En revanche, les données que tu as envoyées (nom, adresse, mail) ont été récoltées par l'entreprise tierce, et je ne sais ni ses liens avec Riot Games, ni son éthique (qui doit bien malheureusement être très faible, vu la redirection vers un scam). Ce n'est pas bien grave, dans le pire des cas, tu pourrais trouver de nouveaux spam dans ta boîte mail, je dirais.
-
-
This commment is unpublished.
· 7 years agoDonc en gros ils ont engagé un codeur qui leur a fait à l'envers ?
Quand j'ai vu le "Merci <3" suivit des mots "this" et "arnaque" ca ma fait pensé a "Merci couillon <3"
J'espère qu'ils agiront en conséquence et surtout à faire TRÈS attention à l'avenir. -
This commment is unpublished.
· 7 years agoJ'ai suivi cette histoire un peu à la marge, c'est vraiment hallucinant.
J'espère en tout cas que cela ne va pas refroidir l'équipe commu FR, ça partait d'une bonne intention.
J'adresse moi aussi un beau wp à Canis, qui fait énormément pour le forum et LoLFR en général, et qui est ma petite crise de rire quotidienne au boulot depuis l'ancien forum quand je le vois remballer les nouveaux venus
-
This commment is unpublished.
· 7 years ago[quote]on pouvait se dire que Riot allait de l'avant.[/quote]
Aaaah ça faisait longtemps
Cette histoire est inquiétante, cela renforce mon idée que Riot est capable de faire des trucs incroyables comme de plonger dans le plus grand amateurisme.
Si Riot est coupable de négligence (et je pense que la leçon sera dorénavant bien apprise), celui qui a fait le site est un escroc, et la partie sondage a été délibérément cachée à Riot.
Pour ceux qui ont été victime de ces malotrus, rassurez-vous vous ne le leur avez pas donné vos mots de passe ou votre carte bancaire ;).
Faites juste attention à ce que vous recevrez dans vos boites mails (avec les infos données, les mails d'arnaque sont plus faciles) ! -
This commment is unpublished.
· 7 years agoPour rebondir sur certains commentaires parlant des mails à venir, j'ai justement reçu un mail suite à ce fameux tirage au sort me demandant d'envoyer mes coordonnées postales car j'ai été tiré au sort.
Etant au courant de ce cafouillage, j'ai fouillé un peu, examiné l'adresse d'envoi et contacté sur tweeter la personne qui était supposé avoir envoyé le mail pour m'assurer de sa véracité et en effet, le mail venait bien de Riot.
Pour ceux qui recevraient un mail similaire, il suffit de regarder le domaine du mail, s'il s'agit de @riotgames.com ce n'est pas une fraude et vous pouvez y aller !
Pour revenir un peu plus sur l'article, il est vrai que c'est dommage qu'une si bonne idée finisse par un tel fiasco =/-
This commment is unpublished.
· 7 years agoSi je ne peux pas affirmer quoi que ce soit sur la véracité du mail, tu as fais deux erreurs dans ton processus d'identification.
La première est de t'adresser à la personne sur Twitter. Si son identité n'a pas été vérifiée par Twitter, cela ne t'apporte aucune assurance. Dans ce cas, il faut passer par le support Riot qui te donnera une réponse fiable.
La seconde est de te fier à l'adresse d'envoi. Il est tout à fait possible d'envoyer un mail venant d'une adresse qui n'est pas la tienne, quand ce n'est pas sécurisé, et beaucoup encore aujourd'hui ne le sont pas. Certaines boîtes mail comme Gmail indique ce genre de fraude, mais c'est loin d'être le cas de toutes. Si tu as répondu par retour de mail, il n'y a aucun risque, le danger est présent quand le mail te demande tes coordonnées sur un site tiers. -
This commment is unpublished.
· 7 years agoMerci de ta réponse !
Après vérification, le compte tweeter n'etait pas certifié.... my bad. Mais en revanche, aucun des comptes tweeter de Rioter FR ne l'est, faudrait peut être qu'ils voient à s'améliorer également de ce côté là !
Pour les adresses mails, je ne savais pas du tout que c'etait possible =O et j'utilise gmail donc à priori c'etait bon
En tout cas merci de ton travail pour ce post !
-
Derniers articles
LoLTracker ferme ses portes après plus de 10 ans de bons et loyaux services !
Thèmes abordés : Fermeture imminente du site, Project L, pause de fin d'année chez Riot, Riot mobile, et bien plus !...
Analysons les problèmes actuels de Yuumi et notre manière d'aborder sa refonte.
Une nouvelle mise à jour a eu lieu sur le PBE, apportant de l'équilibrage
C'est le dernier patch de l'année, la 12.23B est là !