Semaine chargée pour les grands noms d'internet. Vendredi 4 mai 2018, le réseau social Twitter qui invitait ses utilisateurs à modifier leur mot de passe en accédant aux paramètres du compte, suite au stockage de ceux-ci en clair dans un fichier interne. La veille et l'avant-veille, Wikipédia, le 6e site le plus consulté au monde en 2017, a subi une attaque informatique. Jusqu'à présent, la seule conséquence de celle-ci a été que nombre de contributeurs de l'encyclopédie en ligne ont reçu un mail d'avertissement "Il y a eu une tentative échouée d'accéder à votre compte...". Connu sous le pseudo de "0x010C" l'un des administrateurs de l'encyclopédie, ces contributeurs chargé par la communauté de la maintenance et de la modération du site, a accepté de répondre aux questions de Sciences et Avenir. Vérificateur d'adresses IP, il est l'une des très rares personnes à pouvoir accéder aux données personnelles des autres contributeurs.
Science & Avenir : Que s'est-il passé les 3 et 4 mais 2018, pourquoi l'encyclopédie en ligne a-t-elle été attaquée ?
0x010C : Mercredi dernier, aux alentours de 13 heures en France, nous nous sommes aperçu que, tout d’un coup, il y avait eu une hausse énorme du nombre de connexion, de "login", qui échouaient. Selon un intervenant du "bistrot" (un espace de discussion informel au sein de l'encyclopédie) le nombre d'authentifications ratées avec un mauvais mot de passe est passé d'environ 25 à environ 2.600 par minute. Une personne utilisait ce qu’on appelle un botnet - c'est à dire un grand nombre d'ordinateurs ou d'objets connectés à travers le monde infectés par un virus - pour essayer de se connecter sur le compte d’utilisateurs de Wikipédia. Ça duré en gros deux jours avec des arrêts. Cette personne essayait de se connecter au comptes des utilisateurs de Wikipédia en utilisant une liste de mots de passe très courant. Par exemple “azerty”, “password" “motdepasse” ou “1234". Et il les essayait sur tous les comptes en espérant que, dans le lot, l'un d'entre eux fonctionne. C’est pour ça que beaucoup d’utilisateurs se sont retrouvé avec un message d’alerte.
La tentative d'attaque s'est déroulée sur plusieurs périodes. Elle semble avoir repris lundi 07 mai 2018, après l'entretien avec 0x010C. Crédit : grafana.wikimedia.org
Dès le début de l’attaque, l‘équipe de sécurité qui travaille à la Wikimedia Foundation - l'organisation à but non lucratif qui héberge Wikipédia et les projets associées (Commons, Wiktionnaire, etc...) - a suivi sa progression et l'a endiguée. Nous n'avons évidemment pas les détails pour l’instant mais il y aura certainement dans les prochains jours une annonce qui sera faite pour expliquer ce qu’ils ont fait. Aujourd'hui on sait juste que cela touche principalement la Wikipédia anglophone.
L'attaque informatique vise probablement à récupérer des comptes pour ensuite éditer des articles en masse pour vandaliser, pour faire passer des idées politiques, ou pour toute autre raison... Le pirate peut aussi espérer que, dans les comptes récupérés il y ait des comptes avec des prérogatives spéciales. S’il arrivait par exemple à craquer le compte d’un administrateur, il aurait accès à tous ses outils, il pourrait bloquer des contributeurs, supprimer des pages etc… et là il pourrait faire de plus gros dégâts. Mais sur Wikipédia, ce genre d’attaque est assez exceptionnel. D'une part parce que l'encyclopédie a une image de "gentil du net". Et d'autre part parce que toute notre architecture logicielle est ouverte. C'est à dire que Mediawiki, le logiciel qui fait tourner Wikipédia, est un logiciel libre dont le code source est disponible. Tout est documenté et accessible à tous. L'une des conséquences est que quiconque trouve une vulnérabilité peut la signaler tout de suite. Voire la corriger lui même. Le logiciel est constamment amélioré et donc peu vulnérable.
S&A : Quel est le risque pour un simple visiteur ou un contributeur occasionnel ? Et que faire si mon compte est piraté ?
0x010C : L'attaque n’a eu pour l’instant absolument aucun impact sur Wikipédia. Pour un visiteur occasionnel, sans compte, il n'y a aucun risque. Pour les contributeurs, si le mot de passe est bien sécurisé, il n'y a aucune chance que le pirate ait pu rentrer sur le compte. Ces utilisateurs peuvent donc poursuivre leurs contributions normalement sur Wikipédia. Par contre si le mot de passe était un peu faible, ça peut être une bonne occasion d'y remédier.
Si un propriétaire de compte perd son mot de passe ou si de manière plus générale n’a plus d’accès à son compte, il est possible de demander à un développeur de la fondation un mot de passe temporaire. La difficulté étant qu'il lui faudra prouver de manière irréfutable son identité. Par exemple à l'aide d'un autre contributeur qui connaît physiquement le titulaire du compte ou si le compte est relié à un compte twitter, ou avec l'adresse mail qui a servi a créer le compte.
Pour les comptes qui ont des prérogatives spéciales, comme les administrateurs ou les vérificateur d'IP, un système de double identification est disponible. Il n'est pas encore disponible pour le commun des utilisateurs. Cela en cours de déploiement progressif, et devrait arriver petit à petit dans les mois qui viennent. En sachant qu'il s'agira d'une option facultative.
S&A : Suite à cette attaque, l'annonce de Twitter, vendredi, voire le scandale de Cambridge analytica, on peut s'interroger sur la manière qu'a Wikipedia de traiter les données personnelles qu'on lui fournit en créant un compte ou en enrichissant l'encyclopédie.
0x010C : En terme de gestion de la vie privée, de manière générale, les données personnelles sur Wikipédia ne sont utilisées par personne. Contrairement à d’autres sites qui conservent les données personnelles pendant des années, qui les revendent etc… Sur Wikipédia, toutes les données privées sont effacées après trois mois. C’est la durée légale au Etats-unis où sont situés les serveurs. On est donc obligé de conserver ces données 3 mois avant de les effacer. Par données privées, on entend notamment les adresses IP, le lieu de connexion ou l’accès internet qu’utilisent les gens.
Parmi les utilisateurs il y a un tout petit groupe, les vérificateurs d'adresses IP, qui sont nommés par des membres de la communauté et qui ont des outils supplémentaires par rapport aux autres utilisateurs. Et ce afin de vérifier qu'une personne n’utilise pas plusieurs comptes pour désorganiser le fonctionnement de l’encyclopédie ou peser de manière déloyale sur les débats internes à la communauté.
Les vérificateurs, sur la version francophone de wikipédia, ne sont qu'au nombre de quatre. Et ces derniers ont dû signer des accord de confidentialité auprès de la Wikimedia Foundation. Il y a un autre groupe de contributeurs, les "Stewarts", qui sont soumis au même accord de confidentialité. Ces derniers jouent le même rôle mais de manière globale sur tous les wiki du monde, ainsi que sur les projets frères, Wiktionnaire, Wikimedia Commons, etc.. Enfin quelques administrateurs systèmes de la Wikimedia Foundation, qui ont un accès physique aux serveurs, ont également accès aux données privées dans le cadre de leur travail. Leur accord de confidentialité est encore plus strict.
Ce sont les seules utilisateurs à avoir accès aux données personnelles privées des contributeurs. Pour la Wikimedia Foundation, la vie privée n’est pas juste un terme marketing. tout est géré de façon transparente. Les mécanismes sont transparents mais les données privées sont privées.
