Entrent dans un bar
Une drôle d’histoire est arrivée la boutique Itch.io, spécialisée dans les jeux indépendants. Elle a été mise hors ligne par son registrar après un signalement émanant de Funko, le fameux fabricant de petites figurines. Et si le cas n’était pas suffisamment étrange, l’intelligence artificielle est impliquée.
Itch.io est une boutique de jeux indépendants, particulièrement connue dans ce domaine. La plateforme s’est notamment fait connaitre pour ses Game Jams, une sorte de concours où les développeurs peuvent se réunir pour se lancer des objectifs et autres défis. Signe de l’enthousiasme généré par la plateforme, 401 880 jeux ont été créés via les Jams.
Si le site fait cependant parler de lui depuis hier, c’est à la suite d’une disparition brutale. Il s’est en effet révélé inaccessible pendant plusieurs heures, avant de revenir tout à coup en ligne hier soir. Que s’est-il passé ?
Kamoulox
Lorsque la plateforme publie hier soir un message sur X, le contenu en est presque incompréhensible : « Je ne plaisante pas, @itchio a été supprimé par @OriginalFunko parce qu’ils utilisent un logiciel de protection de marque « alimenté par l’IA » appelé @BrandShieldltd qui a créé un faux rapport d’hameçonnage à notre registrar, @iwantmyname, qui a ignoré notre réponse et a simplement désactivé le domaine ».
Concrètement, la plateforme a été mise hors ligne par son registrar (bureau d’enregistrement du nom de domaine), iwantmyname. Ce dernier avait reçu une demande émanant de Funko au sujet de la page d’un jeu qui semblait imiter son propre produit Funko Fusion, un jeu mettant en scène les célèbres figurines. Un titre relativement bien noté d’ailleurs sur des plateformes comme Steam.
Itch.io, dans un autre message, indique que la page en question a été supprimée dès la réception du message, « car cela ne vaut pas la peine de se battre contre ce genre de choses ». La demande envoyée à iwantmyname a été certes envoyée par Funko, mais par l’intermédiaire d’un partenaire, BrandShield, qui se sert de l’intelligence artificielle pour repérer les éventuelles infractions au copyright et générer les demandes de retrait. Ce qui aurait dû être une demande pour une page spécifique s’est transformé en arme nucléaire contre l’intégralité du site, sur la base d’une requête « fraude et hameçonnage », le registrar acceptant la demande.
Hier, le détenteur de la plateforme a également laissé un message sur Hacker News. Il y explique la chronologie résumée de l’histoire, ajoutant que la demande de retrait avait été envoyée il y a environ une semaine à son hébergeur Linode et son registrar. Selon lui, la faute incombe à BrandShield, qui aurait dû envoyer une requête DMCA (Digital Millennium Copyright Act). Le choix d’évoquer la fraude et l’hameçonnage comportait un risque de cascade. Il ajoute avoir signalé au plus vite le retrait de la page à Linode et iwantmyname et expliqué la méprise, mais le registrar n’a jamais répondu.
Une ribambelle d’explications…
Dans la tempête qui s’est déchainée sur Twitter, Funko et BrandShield ont vu leur image sérieusement écornée.
BrandShield a réagi en premier. Hier soir, vers 18 h, la société a communiqué sur X, voulant donner sa version des faits. « BrandShield sert de partenaire de confiance à de nombreuses marques. Notre plateforme pilotée par l’IA détecte les menaces potentielles et fournit une analyse, et dans ce cas, un abus a été identifié à partir d’un sous-domaine », commence ainsi l’entreprise.
« Nous avons identifié et signalé l’infraction, et demandé le retrait de l’URL en question – et non de l’ensemble du domaine http://itch.io. Le retrait temporaire du site web a été décidé par les fournisseurs de services, et non par BrandShield », explique ensuite BrandShield. Avant de conclure : « BrandShield s’engage à soutenir ses clients en identifiant les menaces et les infractions numériques potentielles. Nous encourageons les plateformes à mettre en place des systèmes d’autorégulation plus solides afin d’éviter que de tels problèmes ne s’aggravent ».
Pour BrandShield, tout est la faute du registrar. Les notes de la communauté n’ont cependant pas tardé. La remarque la plus courante revient d’ailleurs à plusieurs reprises : une requête DMCA suffisait. Mais la demande envoyée étendait le périmètre à la sécurité des internautes en mentionnant le phishing.
… et un SMS de maman
Chez Funko, l’embarras est perceptible. « Nous avons un profond respect et une grande estime pour les jeux indépendants, les joueurs indépendants et les développeurs indépendants. Nous sommes des fans de fans et nous aimons la créativité et la passion qui définissent la communauté des jeux indépendants », se défend ainsi l’entreprise.
« Récemment, l’un de nos partenaires pour la protection de la marque a identifié une page sur http://itch.io imitant le site web de développement de Funko Fusion. Une demande de retrait a été émise pour cette page spécifique. Funko n’a pas demandé le retrait de la plateforme @itchio et nous sommes heureux que le site ait été rétabli ce matin », affirme surtout le fabricant de figurines à grosses têtes. Il ajoute avoir contacté Itch.io « pour discuter avec eux de ce problème ».
Mais une heure environ avant que Funko publie son communiqué sur X, le détenteur d’Itch.io tweetait un autre message : « Ce n’est pas une blague, Funko vient d’appeler ma mère ». Dans la capture fournie, on peut voir le SMS en question : « J’ai reçu un appel étrange d’une entreprise au sujet de déclarations accusatrices sur ton compte de réseau social. Appelle-moi ». On ne sait pas exactement ce qu’il s’est passé, Itch.io n’ayant pas élaboré. Funko n’a pas réagi.
