Fondation Wikimedia/Product and Technology/Sécurité et intégrité des produits/Incident de script utilisateur de mars 2026

This page is a translated version of the page Wikimedia Foundation/Product and Technology/Product Safety and Integrity/March 2026 User Script Incident and the translation is 100% complete.

Durant la journée du 5 mars 2026, le personnel de la Fondation Wikimédia a effectué une revue de sécurité sur du code écrit par des utilisateurs à travers les projets Wikimédia. Pendant cette révision, nous avons accidentellement activé un code dormant, qui a été rapidement identifié comme malveillant.

Le code a été actif pendant 23 minutes. Cela a provoqué des suppressions de pages sur Meta-Wiki qui ont depuis été restaurées. Pour empêcher le script de se propager davantage pendant que nous enquêtions, les projets Wikimedia ont été mis en mode lecture seule pendant environ 2 heures, et tous les JavaScript d'utilisateurs ont été temporairement désactivés pour la majeure partie de la journée.

Les pages touchées ont depuis été restaurées et nous pensons qu'aucun dommage permanent n'a été causé par ce code. Nous n'avons aucune raison de croire que Wikipédia a été activement attaquée ou que des informations personnelles ont été piratées dans le cadre de cet incident.

À ce stade, l'impact du code malveillant a été nettoyé, et les scripts utilisateurs JavaScript ont étés réactivés. Nous développons activement d'autres mesures de sécurité concernant les scripts utilisateurs JavaScript en consultation avec la communauté, pour réduire le risque des incidents de ce type à l'avenir.