Book now
20 Mar 2015Je vais vous parler d’une billetterie en ligne très pro : celle du Barbican Centre.
Vous raconter ce qui s’est passé lors de ma réservation me permettra d’illustrer une pléthore d’exemples de ce qu’il ne faut pas faire.
Quelques minutes avant l’ouverture des réservations, le site affiche le message suivant.
NB we anticipate this concert to sell out quickly. If you are having trouble booking online it is because there will be lots of people trying to buy the same seats! Please try the box office on +44 20 7638 8891 if you cannot book online
Un véritable système est censé empêcher ce comportement de se produire.
Et, compte tenu de la frénésie des fans, je doute qu’une réservation par téléphone ait plus de chances de réussir. Je clique « Book Now », je choisis F34-F35, c’est parti.
Encodage des caractères
Mr Jill Jênn Vie
OK. Point suivant.
Sécurité du mot de passe
Pour l’inscription, je choisis un mot de passe.
Veuillez n’entrer que des caractères alphanumériques.
Je retire la ponctuation.
Veuillez n’entrer que des caractères alphanumériques.
?! Je raccourcis le mot de passe. Ça passe. Donc, les mots de passe trop longs ne sont pas autorisés, et le message d’erreur pour l’indiquer n’est pas le bon. BIEN.
Sécurité du mot de passe, le retour
Pour retirer l’accent à mon prénom, je reviens à la page précédente du formulaire d’inscription, en me disant : « Et mince, je vais devoir retaper mon mot de passe… » Et là, je vois :
••••••••
… Tiens ?! Le champ est prérempli. Par crainte, je consulte le source de la page.
<input type="password" value="XXXXXX">Oh mon Dieu. Nous sommes en 2015, et mon mot de passe est en clair dans un code HTML.
Je n’ai pas eu le courage de vérifier, mais je mets ma deuxième place à parier que si on signale qu’on a oublié son mot de passe, ils nous le renvoient. DANGER.
Champs non remplissables
Arrive le moment de réserver. Je vérifie quand même qu’il y a le cadenas pour signifier que la connexion est, si on veut, sécurisée, puis je clique sur le champ pour entrer mon code de carte de crédit.
Aucun caractère ne passe. Je ne comprends pas. Rien ne semble l’indiquer dans le code HTML ou bien dans le CSS. Je désactive JavaScript, plus rien ne marche.
Je passe sous Firefox, en tentant le même lien que ma page sous Safari. Les billets ne sont pas là. Je recharge Safari. Ils sont là. Bigre. Ils sont donc dans mes cookies ?
Je tente de reréserver les billets sous Firefox. Internet étant ce qu’il est, tout a été raflé à l’avant, sauf… F34-F35. (C’était très drôle, deux points rouges centrés brillant au milieu de toutes les places grisées car déjà réservées.) Je clique.
Désolé, ces places ne sont plus disponibles.
Normal, elles sont dans mon Safari !
Bon. Vous l’aurez voulu. Je tape les commandes suivantes dans la barre de Safari :
javascript:document.forms[0].CreditCard.value='XXXX';
javascript:document.forms[0].ExpMonth.value='XX';
javascript:document.forms[0].ExpYear.value='XX';Puis je clique sur Valider. Ça marche. SCANDALE.
Depuis quand faut-il savoir modifier le code JavaScript d’une page pour ne pas perdre des billets bien placés ? Notez que mon premier réflexe n’a pas été de faire ce hack mais d’envoyer au service clients un message intitulé « I want F34-F35 ».
Ils m’ont gracieusement répondu neuf heures plus tard avec un mail automatique.
I hope this information is of use to you and that you are successful in booking with us at the Barbican. If you have any further suggestions on how we could improve on our booking experience either online or in person, please do not hesitate to contact us.
Barbican
do something different
« do something different » !!! Ça a eu raison de moi. Pourquoi faire les choses bien alors qu’on peut les faire différemment ?
Le message que je laisse donc au Barbican :
Please read a security book. Now!