Aide:Sécurité des comptes utilisateur

Une page de Wikipédia, l'encyclopédie libre.
Raccourci : Aide:Sécurité
Niveau débutant
Comprendre et appliquer les lignes directrices en matière de sécurité pour protéger votre compte.

Général[modifier | modifier le code]

Les lignes directrices sur la sécurité s'appliquent à tous les utilisateurs enregistrés — c'est-à-dire à chaque bénévole disposant d'un compte utilisateur. Elles sont définies par l'équipe sécurité de Wikimedia et communes à l'ensemble des projets hébergés par MediaWiki.

Des mesures et recommandations complémentaires peuvent être mises en place pour sécuriser votre compte.

Mot de passe[modifier | modifier le code]

Voir aussi : Password policy et Password strength requirements

Pour garantir la sécurité de votre compte, vous devriez avoir un mot de passe qui :

  • a au moins huit caractères (dix pour les comptes avec des outils techniques) ;
  • a un mélange de lettres majuscules, minuscules, de chiffres et de symboles ;
  • ne contient aucune information personnelle (prénoms et noms de famille, dates de naissance, nom du compte) ;
  • n'est pas sur la liste des 100 000 mots de passe les plus utilisés ;
  • évite les mots issus de dictionnaires ;
  • n'est utilisé sur aucun autre site Web et est strictement différent du mot de passe de votre courriel électronique de secours.

En suivant ces recommandations, votre mot de passe devrait être robuste. Vous pouvez en changer dans vos préférences.

Statuts techniques[modifier | modifier le code]

Pour les utilisateurs disposant d'outils techniques comme les stewards, bureaucrates, administrateurs système, administrateurs, vérificateurs d'adresse IP, masqueurs de modification et modificateurs de filtre, les prérogatives en matière de sécurité sont plus importantes : ils sont invités à utiliser l'authentification à deux facteurs.

Nota : dans certaines circonstances et dans l'intérêt du maintien de l’intégrité du projet — par exemple en cas de compromission (ou soupçon de compromission), les Stewards (cf. Stewards policy) et les bureaucrates peuvent révoquer les droits (temporairement ou non) des utilisateurs concernés, et les membres du personnel de la WMF (cf. ToF) peuvent utiliser leurs droits spéciaux pour réaliser des actions administratives.

Mesures complémentaires[modifier | modifier le code]

Recommandations générales :

  • ne communiquez jamais votre mot de passe, il ne vous sera jamais demandé pour récupérer l'accès à votre compte ;
  • n'enregistrez jamais votre mot de passe sur des fichiers non chiffrés ;
  • n'écrivez jamais votre mot de passe sur papier ;
  • déconnectez-vous de votre compte (ordinateur, mobile) si celui-ci n'est pas mis en veille et protégé par un mot de passe ;
  • ne vous connectez jamais à partir d'un réseau public non fiable ;
  • changez votre mot de passe au moindre soupçon de compromission (une tentative de connexion échouée à votre compte par un tiers n'est pas un soupçon de compromission) ;
  • assurez-vous que votre adresse courriel de secours soit toujours valide et elle-même protégée par un mot de passe robuste.

Identifiant unique[modifier | modifier le code]

Un identifiant unique (ou compte global) est un compte dont le nom d'utilisateur est réservé (c'est-à-dire commun) sur tous les projets frères de Wikimedia. Par extension, la méthode d'identification est unique à l'ensemble des projets.

Pour réaliser une unification des comptes, il est nécessaire de le faire sur Special:MergeAccount.

L'unification est requise pour pouvoir se connecter à phabricator (sauf si vous possédez un compte développeur) et pour formuler une demande relative à votre authentification à deux facteurs en cas de compromission. Elle est aussi souhaitable pour formuler des requêtes auprès des Stewards sur meta.

Authentification à deux facteurs[modifier | modifier le code]

Voir aussi : Two-factor authentication

Si vous avez des outils techniques, vous devriez activer l'authentification à deux facteurs (F2A) dans vos préférences ou sur la page spéciale gestion de l'authentification à deux facteurs.

Cet outil est fortement recommandé à tous les contributeurs disposant d'outils techniques locaux et obligatoire pour certains groupes d'utilisateurs globaux.

Tous les autres utilisateurs qui désirent activer la méthode F2A doivent formuler une demande de permission sur meta auprès des Stewards.

Compte de secours[modifier | modifier le code]

Avoir un second compte — c'est-à-dire un faux-nez respectable et déclaré comme alias voire déclaré sur vos pages d'utilisateur avec {{Utilisateur Faux-nez}} — permet de faciliter la récupération de votre compte principal en cas de compromission, en plus de permettre aux contributeurs ayant des outils avancés (administrateurs, bureaucrates, stewards) de révoquer vos droits en cas de besoin.

Phrase de passe[modifier | modifier le code]

Utiliser une phrase de passe sur votre page utilisateur, notamment à l'aide de {{Utilisateur identifiable}}, permet de vous aider à récupérer votre compte.

BotPasswords[modifier | modifier le code]

La fonctionnalité « mots de passe de robot », malgré son nom, n'est pas exclusive aux robots. Elle peut être utilisée par n'importe quel utilisateur sur Special:BotPasswords. Elle permet de se connecter grâce à l'API et d'obtenir de nouveaux identifiants. Cette mesure est moins sécurisée que les connexions via « OAuth », mais elle permet d'avoir des identifiants avec des droits basiques, ce qui peut être utile pour demander le retrait temporaire de vos droits aux bureaucrates ou formuler une requête aux vérificateurs d'adresse IP pour prouver l'usurpation d'identité.

Nota : cette fonctionnalité est nécessaire pour pouvoir utiliser un logiciel qui utilise l'API, comme AWB, Huggle ou WPCleaner, si vous avez un F2A activé. Voir en:Wikipedia:Using AWB with 2FA.

OAuthConsumerRegistration[modifier | modifier le code]

Voir aussi : OAuth et OAuthConsumerRegistration

La fonctionnalité « OAuthConsumerRegistration » permet d'utiliser une application tierce pour se connecter. La gestion des droits se fait sur Special:OAuthManageMyGrants.

Applications connectées[modifier | modifier le code]

Certaines applications peuvent utiliser votre compte, il est recommandé de ne pas autoriser des applications peu fiables et de révoquer les autorisations des applications que vous n'utilisez pas ou plus dans vos préférences OAuth.

Que faire en cas de compromission ?[modifier | modifier le code]

Voir aussi : Compromised accounts

En cas de difficultés, perte d'accès ou de la compromission de votre compte, il faut s'adresser à l'équipe Trust and Safety de la Wikimedia Fondation via courriel à ca@wikimedia.org avec votre adresse renseignée dans vos préférences, et si vous utilisez une méthode F2A, il faut ouvrir un ticket sur Phabricator dans « F2A (requests) ». Notez qu'il est nécessaire d'avoir unifié son compte et relié à phabricator pour pouvoir réaliser une telle demande.

Si vous avez aussi des droits techniques locaux, il est nécessaire qu'ils vous soient retirés. Vous devez contacter les bureaucrates sur le bulletin des bureaucrates (ou Stewards sur Steward requests, via courriel à stewards@wikimedia.org ou via m:Special:Contact/Stewards).

En cas de mauvaise utilisation des outils ou du compte, les administrateurs et modificateurs de filtre pourront appliquer un blocage.

L'équipe Trust and Safety et les vérificateurs d'adresse IP locaux peuvent confirmer qu'une adresse IP différente est utilisée pour accéder au compte.

Vous pouvez aussi contacter un administrateur de manière instantanée sur :

Pour une demande urgente, vous pouvez attirer l'attention des administrateurs connectés en tapant :

  • !admin sur le canal IRC ;
  • @Admins WP sur le Discord ;

suivi de votre message et si possible d'un lien.

Par « urgence », on entend une demande de blocage à effet immédiat.

Icône pour souligner l'importance du texte
Vos identifiants et vos informations personnelles (courriel, adresse postale, etc.) ne vous seront jamais demandés pour récupérer l’accès à votre compte.

Que faire en cas de notifications de tentatives de connexion échouées[modifier | modifier le code]

Si vous recevez des notifications vous indiquant qu'il y a eu plusieurs tentatives de connexion à votre compte échouées, cela signifie simplement qu'un tiers a tenté de se connecter à votre compte. Dans un pareil cas, dès lors que votre mot de passe est robuste (cf. supra), aucune action de votre part n'est requise ; en particulier, il n'est pas nécessaire de changer votre mot de passe.

Ces notifications peuvent au besoin être désactivées dans les préférences, section « Notifications ».

Liens internes[modifier | modifier le code]

Recommandations externes[modifier | modifier le code]