Wikipédia : un ver JavaScript viral a vandalisé 4 000 pages en seulement 23 minutes

Un incident de sécurité a touché la Fondation Wikimedia : près de 4 000 pages ont été vandalisées, sans compter celles supprimées. Le responsable ? Un ver JavaScript auto-propagé.

Le 5 mars, la Fondation Wikimedia a été victime d’un incident de sécurité de grande ampleur à cause d’un ver JavaScript auto-propagé. Mais comment s’est-il produit ? La Fondation Wikimedia s’est exprimée à ce propos. Elle déclare qu’il est survenu alors que son personnel examinait du code écrit par des utilisateurs : c’est lors de ce contrôle qu’un code dormant malveillant a été activé.

3 996 environ, c’est le nombre de pages vandalisées en seulement 23 minutes – durée pendant laquelle le code malveillant a été actif. Du contenu a également été supprimé. C’est l’ampleur de cet incident de sécurité qui est impressionnante et elle tient à la nature de l’attaque : une réaction en cascade.

Lire aussi : Marre du doomscroll ? Cette développeuse transforme Wikipédia en feed de réseau social pour lier l’utile à l’agréable

Wikipédia victime du vandalisme d’un ver JavaScript viral

Concrètement, MediaWiki, le logiciel qui fait tourner Wikipédia, possède une fonctionnalité permettant de personnaliser l’interface grâce à un fichier common.js qui permet d’ajouter du code JavaScript dédié. Il existe deux niveaux de common.js : celui de l’utilisateur et celui global. C’est cela qui a rendu l’attaque si redoutable, puisque ce ver JavaScript auto-propagé injectait des chargeurs JavaScript malveillants dans le fichier common.js de l’utilisateur connecté et dans celui global.

Grosso modo, il utilise les privilèges du contributeur et à chaque fois que ce dernier charge une page, le code malveillant s’exécute. C’est-à-dire qu’en infectant le compte d’un administrateur avec des privilèges élevés pouvant modifier le common.js global, le ver serait en mesure d’infecter n’importe quel visiteur consultant simplement une page. C’est pour cela que les ingénieurs de la Fondation Wikimedia ont bloqué l’édition le temps que l’incident soit clos et les fichiers corrompus débarrassés de leur script malveillant.

Selon l’analyse de BleepingComputer, 85 utilisateurs ont vu leur fichier common.js remplacé par ce script malveillant, qui était hébergé sur la version russe de Wikipédia – alors qu’il avait été mis en ligne pour la première fois en mars 2024. Le site précise que le code contenait aussi une fonction pour vandaliser des pages au hasard.

L’incident étant désormais clos et les contenus ayant été restaurés, la Fondation Wikimedia rassure : ce ver JavaScript auto-propagé « n'a causé aucun dommage permanent ». Elle précise toutefois : « Nous n'avons aucune preuve que Wikipédia ait fait l'objet d'une attaque délibérée ou que des informations personnelles aient été compromises. » Notons que seul Meta-Wiki, la plateforme qui coordonne l’ensemble des projets de l'entité (Wikipédia, Wiktionnaire, Wikimedia Commons) a été vandalisé.