Douze millions de personnes réclamant le départ de Kylian Mbappé du Real Madrid en à peine une journée. Le chiffre fait tourner les têtes — mais il cache une réalité bien plus banale, et bien plus inquiétante.
L’attaquant français est blessé aux ischio-jambiers depuis plusieurs semaines. Jusque-là, rien d’exceptionnel. Sauf que le dimanche 3 mai, au moment précis où le Real Madrid affrontait l’Espanyol Barcelone dans un match de championnat décisif, des photos de Mbappé sont apparues. Il se promenait en Sardaigne, aux côtés de l’actrice espagnole Ester Expósito.
La réaction des socios n’a pas tardé. Les réseaux se sont enflammés, certains supporters ont réclamé son départ, et une pétition baptisée « Mbappé Out » a émergé dès le mardi 5 mai. « Si vous pensez qu’un changement s’impose, ne restez pas silencieux : signez cette pétition et défendez ce que vous estimez être le mieux pour l’avenir du club », y lisait-on.
En moins de 24 heures, le compteur affichait plus de 12 millions de signatures. Des médias sérieux, dont l’AFP, ont relayé l’information. Problème : le chiffre est une fiction.
Ce que le site ne vérifie pas (et c’est le cœur du problème)
Contrairement à ce qu’on entend souvent sur les pétitions en ligne, toutes les plateformes ne se valent pas, loin de là. Franceinfo a décidé de tester la solidité du dispositif. Résultat : en quelques clics, les journalistes ont signé la pétition plus d’une centaine de fois en quelques secondes à peine.
La méthode est d’une simplicité déconcertante. La page ne demande ni inscription, ni validation par email. Un bouton, un clic, et le compteur monte. Le seul frein ? Le site bloque une deuxième signature depuis le même navigateur. Mais ouvrir une fenêtre de navigation privée suffit à contourner ce verrou. Le site ne vous reconnaît plus, et le bouton « Signer » redevient accessible… à l’infini.
Pour accélérer le processus, il est même possible de solliciter une intelligence artificielle. En demandant à Claude, le chatbot développé par Anthropic, d’écrire quelques lignes de code à injecter dans les outils développeur du navigateur, on obtient une commande permettant de multiplier les signatures automatiquement. Résultat en conditions réelles : plus de cent signatures en une dizaine de secondes.
« Les signatures sont purement déclaratives »
Clément Domingo, alias SaxX dans la communauté de la cybersécurité, a été l’un des premiers à tirer la sonnette d’alarme. Spécialiste en hacking éthique, il a posté un avertissement sur X dès que la supercherie est devenue évidente. Contacté pour s’expliquer, il pose le diagnostic avec netteté :
« Il manque tous les paramètres classiques que l’on devrait avoir sur ce type de site de pétition. Une vérification de l’identité du créateur, une validation des signatures par mail, de la modération… Ici, les signatures sont purement déclaratives, il est donc impossible de savoir combien de personnes ont vraiment voté. », SaxX (Clément Domingo), hacker éthique
À y regarder de plus près, l’explication tient en partie à la nature même de l’hébergement. « Cette pétition est hébergée sur Replit, une plateforme de prototypage souvent utilisée par les étudiants qui permet de tester une idée de site ou d’application grâce à l’IA. Si le résultat vous plaît, vous pouvez le mettre en ligne. Mais ces sites ne sont absolument pas taillés pour, d’où ces énormes dérives », précise-t-il.
Replit, en somme, c’est l’équivalent numérique d’un stand de limonade monté en dix minutes dans un jardin — pratique pour tester, catastrophique pour accueillir un vote à l’échelle mondiale.
Ce que font les vraies plateformes de pétition
Sur Change.org , référence du secteur, les règles du jeu sont radicalement différentes. Une responsable de la plateforme, interrogée par franceinfo, est claire : « Chez nous, les internautes doivent absolument confirmer leur signature par mail pour pouvoir être comptabilisés. Si des adresses mails paraissent suspectes, nos équipes de modération n’hésitent pas à les supprimer. »
Et pour mettre les chiffres en perspective, elle rappelle que pendant la crise des gilets jaunes, la pétition de Priscilla Ludowsky réclamant une baisse des prix à la pompe a atteint plus d’un million de signataires, mais il a fallu plusieurs mois. Obtenir douze fois plus en moins d’une journée ? C’est mathématiquement improbable, même pour Mbappé.
La pétition « Justice pour George Floyd », hébergée sur Change.org et devenue en 2020 la plus signée de l’histoire de la plateforme, a fini par dépasser les 19,5 millions de signatures. Mais cela a pris plus d’un an — jusqu’à la condamnation du policier Derek Chauvin en juin 2021.
Le vrai risque que vous n’avez peut-être pas envisagé
Soyons honnêtes : dans ce cas précis, la pétition ne présente aucun danger direct pour ceux qui l’ont signée. Pas de données personnelles collectées, pas de risque de piratage.
Mais SaxX met en garde contre une version plus sombre du même scénario : « En simulant une vérification des signatures par mail, le créateur du site aurait pu siphonner des milliers d’adresses mails, enregistrer des adresses IP ou les métadonnées. » Un site conçu avec les mêmes apparences, mais un objectif malveillant, aurait pu transformer cette vague de clics indignés en véritable opération de collecte de données. Avant de signer une pétition en ligne ou de fournir la moindre donnée personnelle, vérifier l’hébergeur et l’existence d’une validation par email n’est pas un luxe, c’est un réflexe minimal.
