Authentification à deux facteurs obligatoire pour les utilisateurs disposant de certains droits étendus

À partir du 3 juin 2025, les oversighters et les checkusers devront sécuriser leurs comptes à l'aide d'une authentification à deux facteurs (2FA) pour pouvoir utiliser leurs droits avancés. À l'avenir, cette exigence pourrait être étendue à d'autres utilisateurs disposant de droits avancés. Vous trouverez ci-dessous les questions que la Fondation Wikimedia pose aux membres de la communauté afin de les aider à prendre ces décisions.

Il y a quelques semaines, la Fondation Wikimedia, en collaboration avec les responsables de la communauté, a enquêté sur une compromission massive d'environ 36 000 comptes d'utilisateurs. L'une des mesures que nous avons prises dans le cadre de ce travail a été de commencer à appliquer techniquement l'authentification à deux facteurs obligatoire pour les administrateurs d'interface wiki.

Nous prévoyons de continuer à apporter des changements importants afin de renforcer la sécurité des comptes utilisateurs, en particulier ceux bénéficiant d'un accès privilégié. Heureusement, nous n'avons constaté aucun signe de modification malveillante significative ni aucun problème d'intégrité du contenu suite à l'incident de mars 2025. Cependant, pour répondre de manière appropriée à tout incident de sécurité, il est essentiel d'apporter des améliorations systémiques susceptibles de réduire à l'avenir la probabilité et l'impact de ce type d'incident.

Dans le cadre de ce travail, nous prévoyons d'étendre l'application technique de l'authentification à deux facteurs (2FA) aux oversighters et aux checkusers, compte tenu de leur accès privilégié à des informations non publiques concernant les éditeurs.

Les utilisateurs concernés doivent se rendre sur la page Special:Manage Two-factor authentication du wiki sur lequel ils détiennent l'un des droits susmentionnés (pour la plupart des utilisateurs, cela ne sera pas ici sur le méta-wiki), et configurer une application qui prend en charge les codes basés sur le temps (voir les nombreuses options répertoriées ici).

Nous prévoyons d'effectuer ce changement le 3 juin 2025 et contacterons directement les utilisateurs concernés avant la mise en œuvre.

Nous pensons qu'il serait probablement nécessaire d'étendre cette mesure à d'autres rôles bénéficiant de capacités techniques privilégiées, tels que les bureaucrates. Cependant, nous notons que l'extension généralisée de la 2FA pourrait s'accompagner de difficultés supplémentaires, car les options de 2FA disponibles pour les utilisateurs des projets Wikimedia sont limitées. Nous avons l'intention d'améliorer l'accessibilité et la sécurité de nos capacités 2FA, par exemple en permettant aux utilisateurs de configurer plusieurs moyens d'authentifications à deux facteurs, et de prendre davantage en charge les méthodes modernes de protection contre le phishing, telles que les clés de sécurité et les clés d'accès, afin de faciliter la transition vers la 2FA pour les comptes ayant un accès privilégié à des informations non publiques.

Nous publions cet avis pour avertir à l'avance de ce changement et pour recueillir les commentaires des membres de la communauté. Nous vous invitons à nous faire part de vos suggestions sur la meilleure façon de mettre en œuvre des mesures d'application de la 2FA comme celle-ci, aujourd'hui et à l'avenir, ainsi que sur les améliorations techniques à apporter à la 2FA et aux fonctionnalités associées afin d'offrir une expérience plus fluide à tous.

Veuillez poster vos commentaires sur la page de discussion, ou si vous avez des commentaires privés, vous pouvez envoyer un e-mail à security-helpwikimedia.org. Nous sommes particulièrement intéressés par :

• Quels problèmes avez-vous rencontrés, ou vu d'autres rencontrer, avec l'authentification à deux facteurs sur les projets Wikimedia ? Veuillez signaler tout bug logiciel, problème de sécurité, manque de documentation, difficulté de compatibilité avec certains appareils, ou tout autre problème.
• Existe-t-il d'autres exigences techniques en matière de sécurité que la 2FA que nous devrions envisager comme exigences potentielles pour maintenir un accès privilégié aux wikis ?
• Sur quels autres groupes d'utilisateurs ou privilèges devrions-nous nous concentrer dans le cadre du renforcement de nos politiques de sécurité ?
• À quoi devons-nous faire particulièrement attention dans le cadre de ce travail ?
• Tout autre commentaire ou question que vous pourriez avoir.

• Qui organise cette consultation ?
  • L'équipe Sécurité de la Fondation Wikimedia, soutenue par Communications du mouvement.
• Comment allez-vous faire respecter ces exigences ?
  • Après une période de grâce, elles seront appliquées par le logiciel. Comme mentionné ci-dessus, cela est déjà en place pour les administrateurs d'interface. Les utilisateurs qui n'utilisent pas l'authentification à deux facteurs n'auront pas accès à leurs autorisations de vérification d'utilisateur/superviseur tant qu'ils n'auront pas activé la 2FA.
• Que se passe-t-il si je perds mon dispositif 2FA ?
  • Lorsque vous activez la 2FA, une série de 10 codes de récupération à usage unique vous sera fournie. Vous devez conserver une copie de ces codes en lieu sûr.
  • Même si la 2FA est activée, vous pouvez lancer le processus de vérification pour récupérer l'accès à votre compte en contactant cawikimedia.org à partir de l'adresse e-mail confirmée associée au compte utilisateur.
  • Pour lancer le processus de vérification de votre compte, vous aurez besoin d'une adresse e-mail valide et confirmée, associée à votre compte utilisateur et à partir de laquelle vous pouvez envoyer des e-mails.
• « Comment activer la 2FA pour mon compte ? Je ne vois pas cette option. »
  • À l'heure actuelle, l'authentification à deux facteurs n'est généralement disponible que pour les utilisateurs disposant d'un accès privilégié d'une certaine sorte. Nous étudions actuellement les conditions nécessaires pour étendre l'authentification à deux facteurs à tous les comptes utilisateurs Wikimedia.

• Aide:Authentification à deux facteurs