Fondation Wikimedia/Découverte de compromissions de comptes en mars 2025
En collaboration avec des bénévoles, La Fondation Wikimedia a récemment identifié un schéma de connexions inhabituelles à des comptes enregistrés. Après enquête, les bénévoles et le personnel de la WMF ont verrouillé globalement 35 893 comptes, ce qui déconnecte ces utilisateurs et les empêche de se connecter. Si votre compte a été affecté et qu'une adresse électronique y est associée, vous devriez avoir reçu un email de la part de privacy@wikimedia.org avec une explication des étapes à suivre.
Sur la base de tout ce que nos équipes de sécurité et d'ingénierie ont trouvé, nous pensons que cette activité non autorisée est très probablement le résultat de la compromission des mots de passe des utilisateurs depuis des sites sans rapport avec Wikimedia, où les utilisateurs ont réutilisé leurs mots de passe sur plusieurs sites web. Cela permet le "credential stuffing", une attaque malheureusement courante dans laquelle des acteurs malveillants trouvent des noms d'utilisateur et des mots de passe volés et tentent d'utiliser ces mêmes combinaisons sur d'autres sites web et comptes où le même nom d'utilisateur ou email est utilisé. Les informations des comptes concernés (telles que les adresses électroniques associées, les fuseaux horaires et d'autres paramètres de profil) étaient accessibles aux attaquants avant que les comptes ne soient verrouillés.
Nous n'avons actuellement aucune raison de penser que les systèmes de Wikimédia sont à l'origine de la compromission, et n'avons aucune preuve qu'un utilisateur ou un groupe d'utilisateurs en particulier, ou une communauté spécifique, ont été ciblés. Il s'agissait principalement de comptes inactifs ou peu actifs – seuls 2% environ des comptes d'utilisateurs affectés avaient effectué 100 modifications ou plus depuis leur inscription. Nous enquêtons encore mais n'avons pas constaté d'activités de modification malveillante à partir d'un compte compromis et nous ne pensons pas en ce moment que l'intégrité du contenu de Wikimedia ait été affectée.
Prochaines étapes pour les utilisateurs de Wikimédia
Tout d'abord, nous encourageons les utilisateurs qui ont été directement touchés par l'incident à modifier immédiatement leur mot de passe pour tout compte en ligne ayant ce même mot de passe. Plus généralement, nous encourageons tous les utilisateurs à avoir des mots de passe uniques pour chaque site web sur lequel ils.elles ont un compte, ce que les gestionnaires de mots de passe largement disponibles peuvent aider à faire.
Les comptes Wikimédia ne nécessitent pas d'adresse email mais nous sommes très limités dans notre capacité à aider à récupérer l'accès aux comptes compromis qui n'en ont pas. Nous recommandons généralement d'avoir une adresse électronique confirmée sur votre compte Wikimédia. Veuillez consulter notre politique sur les mots de passe pour en savoir plus sur les exigences et les bonnes pratiques concernant le mot de passe de votre compte Wikimédia.
Nous remercions les bénévoles qui ont contribué à répondre rapidement à cet incident. Nous mettons en place des mesures de sécurité supplémentaires au niveau de la fondation pour les comptes d'utilisateurs de Wikimédia dans le cadre de notre travail continu de prévention et d'identification d'incidents de ce type à l'avenir. Si vous voyez des discussions à ce sujet, veuillez diriger les personnes vers cette page Méta-Wiki et poser des questions sur la page de discussion.
Nous vous en dirons plus prochainement. Merci!
Mises à jour
- (21:17, 28 March 2025 (UTC)) Le texte de l'article ci-dessus a été mis à jour pour mentionner la possibilité que des appareils compromis aient contribué à l'attaque, et pas seulement des sites web compromis. Vu que notre analyse de l'activité des comptes est toujours en cours, nous avons également précisé que nous n'avons constaté aucun signe "significatif" de modification malveillante, plutôt "qu'aucun". Vous pouvez consulter les modifications révisées dans l'historique de la page (lien pour comparer).