Calendrier de l'avent : Quand la bonne idée tourne au désastre - LoLTracker.com

Un calendrier de l'avent sur le jeu. L'idée était bonne, et on pouvait se dire que Riot allait de l'avant. Mais l'histoire ne s'est pas déroulée aussi bien que prévu. Voici un résumé des choses à ne pas faire si vous ne voulez pas ressembler à un énième site d'arnaque sur le jeu...

Le site de ce calendrier de l'avent n'est pas un sous-domaine du site officiel. Comprenez par là que ce n'est pas quelque chose comme "calendrierdelavent.leagueoflegends.com" ni même simplement un mini-site comme on en voit parfois, qui est alors derrière le domaine, comme par exemple "euw.leagueoflegends.com/fr/calendrierdelavent". À la place, nous avons droit à un "lolcalendrierdelavent.com". Vu comme ça, rien ne dit qu'il s'agit d'un site officiel ou à défaut soutenu par Riot. Il faut donc jeter un oeil au site, communiqué sur le compte Twitter officiel de League of Legends France, ainsi que sur Youtube et sur Facebook (Publications supprimées depuis) :

Le site permettait d'avoir à ses débuts des GIFs, des fonds d'écrans, et des BD. Rien de dangereux, même pour un site louche, à moins de tomber sur un site exploitant des vulnérabilités de navigateurs, mais il y a à ce moment mieux pour procéder, et pour "aguicher" des gens pour qu'ils viennent sur le site qu'un jeu comme League of Legends.

Mais par la suite, les choses ont évolué. Le site a demandé vos informations personnelles (Notamment votre nom complet, votre addresse mail, et votre adresse postale) pour procéder à un tirage au sort en vue de donner des récompenses aux gagnants du tirage.

Aucune information sur le tiers en question, ni sur ce qu'il adviendra de vos données personnelles. Notez qu'à ce moment, Riot enfreint au moins 3 des 5 principes de la loi informatique et libertés, qui impose de préciser ce à quoi les données collectées servent, limitent leur conservation, et nécessitent une sécurisation (Pour le dernier point, vu la nature des données, il n'est pas dit que ça soit un véritable problème, en tout cas aux yeux d'un organisme comme la CNIL).

Sur les forums français, Riot s'est excusé pour cette maladresse. Le tweet et les divers autres contenus mentionnant le calendrier et donnant le lien vers le site ont été supprimés, et ce dernier a été désactivé, n'affichant plus qu'un fond noir.

Alors, qu'est-ce qu'il s'est passé ? Je pense pouvoir vous donner quelques éléments de réponse qui vont au-delà de la réponse standard d'un Rioter. Je précise avant de démarrer qu'il s'agit ici d'hypothèses, et de suppositions basées sur mon expérience personnelle et professionnelle, et sur ma connaissance de Riot. Gardez donc des pincettes, je n'ai pas demandé directement aux Rioters impliqués ce qu'il s'est passé, histoire d'éviter de remuer le couteau dans la plaie.

Commençons donc par le début. Tout d'abord, pourquoi le site n'est pas un sous-domaine ou un mini-site de leagueoflegends.com ? De par la manière de fonctionner de Riot, c'est probablement parce que les développeurs n'avaient pas le temps ou ne pouvaient pas prioriser un petit événement local (Cela ne concernait que la France, pour rappel), face à tout l'événement du solstice, qui lui se déroule à l'échelle mondiale. L'équipe a donc sûrement sous-traité la création du site, n'ayant pas de développeur web dans ses rangs, à ma connaissance. Et vous vous en doutez probablement, il n'est pas question de laisser une société externe accéder aux systèmes informatiques de la maison, pour des raisons évidentes de sécurité (Et dans ce cas de figure, heureusement !). Une personne mal intentionnée pourrait laisser sur le site du code malveillant pour y faire n'importe quoi. Il est toujours possible de vérifier le code pour peu qu'il ne soit pas crypté (Et quand il l'est, c'est rarement bon signe venant d'un prestataire), mais là encore, je doute que Riot avait le temps de le faire.

Je pense donc que nous avons là le travail d'un sous-traitant peu compétent, peu expérimenté, et potentiellement malveillant. Les défauts de style (Icônes qui dépassent, mots cachés dans une image, etc...) trahissent soit de l'insouciance, soit de l'incompétence, soit l'absence de vérifications et de tests, soit les trois. Les certificats SSL pour avoir un https comme ici sont aujourd'hui délivrés gratuitement via l'initiative OpenSSL, et il est toujours possible de s'adresser à des organismes privés comme Symantec pour en acheter. Je doute que l'argent nécessaire soit un gros problème pour une entreprise comme Riot. L'absence d'un nom de domaine enregistré par Riot n'est pas trop grave en soit. Là c'est plus de l'ordre du détail, mais quelqu'un qui ferait bien les choses l'aurait fait enregistrer par Riot Games.

Concernant la collecte des données personnelles, j'ai parlé des principes de la loi informatique et liberté, et sachant que personne n'a envie de se faire taper sur les doigts par la CNIL (Les amendes ne font jamais plaisir, et les grands comme Facebook n'échappent pas à la règle), je pense qu'on peut en déduire que le prestataire retenu par Riot n'était peut-être pas français (Le formulaire utilisant des codes anglais, et la présence d'un "this" sur une page, pousse encore plus vers cette piste). Pour finir avec le lien redirigeant vers un site d'arnaque bien réel, c'est pour moi la marque d'un prestataire malveillant. Je vois mal à quel moment on peut utiliser un lien vers un site d'arnaque, même à titre de test.

Alors pourquoi avoir retenu un prestataire pareil ? Eh bien, il y a plusieurs possibilités. Une idée de dernière minute montée dans la précipitation, une méconnaissance du secteur des agences de développement web, un prestataire qui a réussi à embobiner la personne en charge de l'événement, etc... Sur ça il y a de multiples facteurs qui peuvent intervenir pour aboutir à un désastre comme celui-ci. Dommage, ça partait d'une bonne intention, et c'est une initiative qui faisait plaisir à voir (Même si on peut souligner le fait que Riot n'en a pas parlé sur ses propres forums, ou sur le client, pourtant adapté aux actualités françaises même s'il est en anglais).

Si on peut en vouloir à Riot sur ce coup-là, en rire, ou se moquer, il faut toutefois garder à l'esprit que le secteur des agences de développement web n'est pas des plus simples à décrypter. Comme tous les domaines où il y a beaucoup de gens qui ne connaissent pas bien (Ou pas du tout) le fonctionnement de ce qu'ils veulent, certains n'hésitent malheureusement pas à demander des sommes exorbitantes pour des choses qui se font aujourd'hui en quelques heures, ou en quelques dizaines de minutes, et parfois pour un résultat qui laisse à désirer.

Finalement, il vaut peut-être mieux garder le positif de l'histoire à l'esprit, et voir que l'équipe communautaire Française commence à prendre un peu plus d'initiative pour sa communauté. Reste à éviter ce genre de maladresse, et à améliorer la communication sur le sujet. Mes félicitations également à Canisback pour avoir montré avec brio les problèmes de ce site, et aux joueurs que j'ai vu sur les forums d'aide et support (Ainsi que quelques MP m'étant adressés), qui se sont méfiés du site.