Le Mob Vote annuel de Minecraft est un événement très attendu où les joueurs peuvent choisir la prochaine créature à être ajoutée au jeu. Cependant, de récentes révélations ont suscité des discussions sur l’intégrité de ce système de vote. Un thread Twitter d’un utilisateur nommé Bogdan a décrit des failles potentielles dans le Mob Vote 2023 qui pourraient avoir été exploitées pendant le processus de vote.
Selon Bogdan, le bug a été signalé pour la première fois sur le traqueur de problèmes de Mojang sous l’identifiant WEB-6163 (aujourd’hui ce lien n’est plus accessible). Le problème principal réside dans la manière dont les votes sont envoyés et stockés par le serveur. Lorsqu’un joueur vote, son ordinateur envoie un paquet de données au serveur de Mojang. Ce paquet contient le MCToken du joueur (une forme d’identification) et un tableau listant le mob pour lequel il vote.
Le serveur accepte ce tableau et le stocke dans la base de données sans vérifier la taille ou la répétition des éléments qu’il contient. En gros, le serveur vérifie la validité des mobs dans la liste, mais pas leur quantité.
La première possibilité est que le serveur lise tous les éléments de la liste pour chaque électeur. Si c’est le cas, des entrées multiples pour un mob particulier d’un seul électeur gonfleraient son comptage, faussant potentiellement les résultats.
L’alternative est que le serveur ne lise que le premier élément de la liste (indice 0). Si c’est le cas, alors l’intégrité du comptage des votes demeure, même si de l’espace de stockage de la base de données est gaspillé.
Le manque de contrôle sur la taille et la répétition soulève des questions. Si le système n’est pas conçu pour valider la taille des données, comment pouvons-nous lui faire confiance pour compter correctement les votes ? Bogdan soulève un point valide : s’il n’y a pas de contrôle lors du stockage des informations, qui coûte plus cher à Microsoft en termes de stockage de base de données, quelles garanties avons-nous que les votes sont comptés correctement ?
En plus du problème principal de stockage et de comptage des votes, un autre bug a été révélé : la possibilité de voter sans posséder un compte Minecraft. Cela ouvre une autre voie pour une éventuelle exploitation, car cela permet essentiellement un nombre illimité de votes provenant de sources non vérifiées.
Mojang a officiellement réagi face aux rumeurs et aux préoccupations concernant la fiabilité de son système de vote. Dans un message posté sur un discord dédié aux créateurs de contenus, ils ont assuré aux fans que, malgré les tentatives de fausser les résultats du vote sur les mobs, le gagnant de cette année reflète fidèlement le choix de la communauté :
Bien que Mojang ait reconnu et répondu aux rumeurs de manipulation des votes, affirmant que les résultats n’ont pas été affectés, de nombreuses questions subsistent. Ils n’ont pas directement abordé les détails précis des bugs et des problèmes soulevés par la communauté.
Même s’il n’existe pas de preuve concrète d’une exploitation de ces vulnérabilités, l’existence de failles potentielles dans le système a semé le doute. Il sera intéressant de voir comment Mojang traite ces questions et préoccupations dans les futurs votes.