Général
Les lignes directrices sur la sécurité s'appliquent à tous les utilisateurs enregistrés — c'est-à-dire à chaque bénévole disposant d'un compte utilisateur. Elles sont définies par l'équipe sécurité de Wikimedia et communes à l'ensemble des projets hébergés par MediaWiki.
Des mesures et recommandations complémentaires peuvent être mises en place pour sécuriser votre compte.
Mot de passe
- Voir aussi : Password policy et Password strength requirements
Pour garantir la sécurité de votre compte, vous devriez avoir un mot de passe qui :
- a au moins huit caractères (dix pour les comptes avec des outils techniques) ;
- a un mélange de lettres majuscules, minuscules, de chiffres et de symboles ;
- ne contient aucune information personnelle (prénoms et noms de famille, dates de naissance, nom du compte) ;
- n'est pas sur la liste des 100 000 mots de passe les plus utilisés ;
- évite les mots issus de dictionnaires ;
- n'est utilisé sur aucun autre site Web et est strictement différent du mot de passe de votre courriel électronique de secours.
En suivant ces recommandations, votre mot de passe devrait être robuste. Vous pouvez en changer dans vos préférences.
Statuts techniques
Pour les utilisateurs disposant d'outils techniques comme les stewards, bureaucrates, administrateurs système, administrateurs, vérificateurs d'adresse IP, masqueurs de modifications et modificateurs de filtre, les prérogatives en matière de sécurité sont plus importantes : ils sont invités à utiliser l'authentification à deux facteurs.
Nota : dans certaines circonstances et dans l'intérêt du maintien de l’intégrité du projet — par exemple en cas de compromission (ou soupçon de compromission), les stewards (cf. Stewards policy) et les bureaucrates peuvent révoquer les droits (temporairement ou non) des utilisateurs concernés, et les membres du personnel de la WMF (cf. ToF) peuvent utiliser leurs droits spéciaux pour réaliser des actions administratives.
Mesures complémentaires
Recommandations générales :
- ne communiquez jamais votre mot de passe, il ne vous sera jamais demandé pour récupérer l'accès à votre compte ;
- n'enregistrez jamais votre mot de passe sur des fichiers non chiffrés ;
- n'écrivez jamais votre mot de passe sur papier ;
- déconnectez-vous de votre compte (ordinateur, mobile) si celui-ci n'est pas mis en veille et protégé par un mot de passe ;
- ne vous connectez jamais à partir d'un réseau public non fiable ;
- changez votre mot de passe au moindre soupçon de compromission (une tentative de connexion échouée à votre compte par un tiers n'est pas un soupçon de compromission) ;
- assurez-vous que votre adresse courriel de secours soit toujours valide et elle-même protégée par un mot de passe robuste.
Identifiant unique
Un identifiant unique (ou compte global) est un compte dont le nom d'utilisateur est réservé (c'est-à-dire commun) sur tous les projets frères de Wikimedia. Par extension, la méthode d'identification est unique à l'ensemble des projets.
Pour réaliser une unification des comptes, il est nécessaire de le faire sur Spécial:Fusionner le compte.
L'unification est requise pour pouvoir se connecter à Phabricator (sauf si vous possédez un compte développeur) et pour formuler une demande relative à votre authentification à deux facteurs en cas de compromission. Elle est aussi souhaitable pour formuler des requêtes auprès des Stewards sur meta.
Authentification à deux facteurs
- Voir aussi : Two-factor authentication
Si vous avez des outils techniques, vous devriez activer l'authentification à deux facteurs (F2A) dans vos préférences ou sur la page spéciale de gestion de l'authentification à deux facteurs.
Cet outil est fortement recommandé à tous les contributeurs disposant d'outils techniques locaux et obligatoire pour certains groupes d'utilisateurs globaux.
Tous les autres utilisateurs qui désirent activer la méthode F2A doivent formuler une demande de permission sur meta auprès des stewards.
Compte de secours
Avoir un second compte — c'est-à-dire un faux-nez respectable et déclaré comme alias voire déclaré sur vos pages d'utilisateur avec {{Utilisateur Faux-nez}} — permet de faciliter la récupération de votre compte principal en cas de compromission, en plus de permettre aux contributeurs ayant des outils avancés (administrateurs, bureaucrates, stewards) de révoquer vos droits en cas de besoin.
Phrase de passe
Utiliser une phrase de passe sur votre page utilisateur, notamment à l'aide de {{Utilisateur identifiable}}, permet de vous aider à récupérer votre compte.
Mots de passe de robots
La fonctionnalité « mots de passe de robots », malgré son nom, n'est pas exclusive aux robots. Elle peut être utilisée par n'importe quel utilisateur sur Spécial:BotPasswords. Elle permet de se connecter grâce à l'API et d'obtenir de nouveaux identifiants. Cette mesure est moins sécurisée que les connexions via « OAuth », mais elle permet d'avoir des identifiants avec des droits basiques, ce qui peut être utile pour demander le retrait temporaire de vos droits aux bureaucrates ou formuler une requête aux vérificateurs d'adresse IP pour prouver l'usurpation d'identité.
Nota : cette fonctionnalité est nécessaire pour pouvoir utiliser un logiciel qui utilise l'API, comme AWB, Huggle ou WPCleaner, si vous avez un F2A activé. Voir en:Wikipedia:Using AWB with 2FA.
OAuthConsumerRegistration
- Voir aussi : OAuth et OAuthConsumerRegistration
La fonctionnalité « OAuthConsumerRegistration » permet d'utiliser une application tierce pour se connecter. La gestion des droits se fait sur Spécial:OAuthManageMyGrants.
Applications connectées
Certaines applications peuvent utiliser votre compte. Il est recommandé de ne pas autoriser des applications peu fiables et de révoquer les autorisations des applications que vous n'utilisez pas ou plus dans vos préférences OAuth.
Que faire en cas de compromission ?
- Voir aussi : Compromised accounts
NOPROXY |
Wikipédia:Proxy ouvert |
Sécurité des utilisateurs |
Blocage en écriture |
Blocage automatique |
Exemption de blocage d'IP |
Vérification d'adresses IP |
Vérifications des filtres |
Demander un blocage |
En cas de difficultés, perte d'accès ou de la compromission de votre compte, il faut s'adresser à l'équipe Trust and Safety de la Fondation Wikimédia via courriel à cawikimedia.org avec l'adresse renseignée dans vos préférences. Si vous utilisez une méthode F2A, il faut ouvrir un ticket sur Phabricator dans « F2A (requests) ». Notez qu'il est nécessaire d'avoir unifié son compte et relié à Phabricator pour pouvoir réaliser une telle demande.
Si vous avez aussi des droits techniques locaux, il est nécessaire qu'ils vous soient retirés. Vous devez contacter les bureaucrates sur le bulletin des bureaucrates (ou stewards sur Steward requests, via courriel à stewardswikimedia.org ou via m:Special:Contact/Stewards).
En cas de mauvaise utilisation des outils ou du compte, les administrateurs et modificateurs de filtre pourront appliquer un blocage.
L'équipe Trust and Safety et les vérificateurs d'adresses IP locaux peuvent confirmer qu'une adresse IP différente est utilisée pour accéder au compte.
Vous pouvez aussi contacter un administrateur de manière instantanée sur :
- le canal IRC
#wikipedia-fr
ircs://
du serveur irc.libera.chat ; - le Discord « Communauté Wikimédia francophone ».
Pour une demande urgente, vous pouvez attirer l'attention des administrateurs connectés en tapant :
!admin
sur le canal IRC ;@Admins WP
sur le Discord ;
suivi de votre message et si possible d'un lien.
Par « urgence », on entend une demande de blocage à effet immédiat.
Que faire en cas de notifications de tentatives de connexion échouées
Si vous recevez des notifications vous indiquant qu'il y a eu plusieurs tentatives de connexion à votre compte échouées, cela signifie simplement qu'un tiers a tenté de se connecter à votre compte. Dans un pareil cas, dès lors que votre mot de passe est robuste (cf. supra), aucune action de votre part n'est requise ; en particulier, il n'est pas nécessaire de changer votre mot de passe.
Ces notifications peuvent au besoin être désactivées dans les préférences, dans la section « Notifications ».
Liens internes
- Aide:Compte utilisateur
- Wikipédia:Sécurité et pratiques personnelles (en)
- Make sure you have a password
- Aide:Confidentialité et vie privée (ko)