Les administrateurs ont d’abord remarqué l’incident dans la section technique du Village Pump de Wikipédia. Des utilisateurs y signalaient l’apparition soudaine d’un grand nombre de modifications automatiques, qui ajoutaient des scripts cachés et du vandalisme à des pages choisies au hasard. Les ingénieurs de Wikimedia sont rapidement intervenus et ont temporairement restreint la modification des pages sur différents projets. Pendant cette période, ils ont enquêté sur l’attaque et ont commencé à annuler les modifications apportées.
Script malveillant
Selon Phabricator, le système de suivi des bogues de Wikimedia, l’incident a commencé après l’exécution d’un script malveillant sur Wikipédia en russe. Cela a entraîné la modification d’un fichier JavaScript global sur Wikipédia avec du code malveillant. Le script était enregistré sous User:Ololoshka562/test.js, un fichier qui avait déjà été téléchargé en mars 2024. Il serait lié à des scripts déjà utilisés lors d’attaques contre des projets wiki.
L’analyse de l’historique des modifications montre que le script a été exécuté plus tôt dans la journée via le compte d’un employé de Wikimedia qui testait des scripts utilisateur. On ignore pour l’instant si le script a été exécuté intentionnellement, s’il a été chargé par inadvertance lors des tests, ou si le compte en question a pu être piraté.
Ver qui se propage tout seul
L’analyse du script montre qu’il pouvait se propager en ajoutant des chargeurs JavaScript malveillants à la fois à un fichier de script personnel et à un fichier de script global chargé par de nombreux utilisateurs. Il s’agit de deux emplacements de script connus au sein de l’infrastructure wiki de MediaWiki. Le premier est MediaWiki:Common.js, un script global pouvant être exécuté pour tous les utilisateurs, le second User:/common.js, un fichier de script personnel. Lorsqu’un éditeur connecté chargeait le script malveillant, celui-ci tentait d’effectuer deux modifications avec les droits de cet utilisateur.
Le script tentait de remplacer User:/common.js par un chargeur qui aurait automatiquement chargé le script test.js chaque fois que l’utilisateur se rendait sur Wikipédia alors qu’il était connecté. Une infection persistante était également présente au niveau du site. Si l’utilisateur disposait des droits nécessaires, le script tentait également de modifier MediaWiki:Common.js. Dans ce cas, le script s’exécutait automatiquement pour tous les éditeurs chargeant ce script global.
Si ce script global était effectivement modifié, le ver pouvait continuer à se propager. Toute personne qui chargeait le script relançait automatiquement le chargeur, après quoi son propre fichier common.js était également modifié.
Vandalisme automatique
Le script contenait également du code permettant de modifier des pages au hasard. Cela se faisait via la commande wiki Special:Random, qui ouvre une page choisie au hasard. Une image était ensuite ajoutée, accompagnée d’un chargeur JavaScript caché.
Selon une analyse de BleepingComputer, environ 3 996 pages auraient été modifiées au cours de l’incident. En outre, environ 85 comptes d’utilisateurs auraient vu leur fichier common.js écrasé. On ignore combien de pages ont finalement été supprimées.
Réaction rapide
Alors que le ver se propageait, les ingénieurs de Wikimedia ont temporairement restreint la possibilité de modifier les pages. Parallèlement, les modifications malveillantes ont été annulées et toutes les références aux scripts injectés ont été supprimées. Au cours de cette opération de nettoyage, le personnel de la Fondation Wikimedia a également rétabli une version antérieure des fichiers common.js de nombreux utilisateurs. Les pages modifiées ont depuis été « supprimées », ce qui les rend invisibles dans l’historique des modifications.
Au moment où nous écrivons ces lignes, le code malveillant a été supprimé et les utilisateurs peuvent à nouveau modifier les pages.
Code valable pour une durée limitée
Selon un communiqué de la Fondation Wikimedia, le code malveillant n’est finalement resté actif que 23 minutes. Pendant cette période, seuls des contenus et des pages sur Meta-Wiki ont été modifiés ou supprimés. Ces contenus sont en cours de restauration.
L’organisation affirme qu’il n’y a aucune indication laissant penser que Wikipédia ait été délibérément prise pour cible ou que des données personnelles aient été dérobées. La fondation met toutefois en place des mesures de sécurité supplémentaires afin d’éviter que des incidents similaires ne se reproduisent à l’avenir. Les mises à jour concernant l’enquête sont publiées dans le journal des incidents public de l’organisation.
