Wikipédia:Bulletin des administrateurs/2016/Semaine 45

Instructions

Afin de mieux faire comprendre à la communauté ce que font les administrateurs (sysops, opérateurs ou admins), il a été décidé de créer ce bulletin en février 2005. Il permet aux admins de se coordonner.

Cette page est donc principalement destinée aux administrateurs et à leurs discussions entre eux, la page de discussion associée étant cependant à la disposition des autres contributeurs.

Les nouveaux sujets sont placés en haut de ce bulletin, sous la date du jour.

Si vous n'êtes pas administrateur, merci d'ouvrir une section sur Wikipédia:Requête aux administrateurs.

2016	Mois	Janvier \| Février \| Mars \| Avril \| Mai \| Juin \| Juillet \| Août \| Septembre \| Octobre \| Novembre \| Décembre
2016	Semaines	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| 11 \| 12 \| 13 \| 14 \| 15 \| 16 \| 17 \| 18 \| 19 \| 20 \| 21 \| 22 \| 23 \| 24 \| 25 \| 26 \| 27 \| 28 \| 29 \| 30 \| 31 \| 32 \| 33 \| 34 \| 35 \| 36 \| 37 \| 38 \| 39 \| 40 \| 41 \| 42 \| 43 \| 44 \| 45 \| 46 \| 47 \| 48 \| 49 \| 50 \| 51 \| 52 \|

Samedi 12 novembre[modifier le code]

Double authentification disponible pour les sysops et les CU[modifier le code]

Bonjour,

Suite au piratage du compte de Jimbo et de plusieurs autres comptes de contributeurs importants (voir ici ou là pour un résumé), la double authentification est maintenant disponible pour les comptes ayant le statut de sysop ou de CU et peut être configuré dans les préférences.

Cordialement. — Thibaut (会話) 12 novembre 2016 à 16:27 (CET)[répondre]

Thibaut, Des trucs m'échappent dans le processus de double authentification de MediaWiki. Où puis-je avoir plus d'information ? — Cantons-de-l'Est ^discuter 12 novembre 2016 à 20:35 (CET)[répondre]

Il semble qu’une page d’aide soit en cours de rédaction (il y a cette page pour le moment). Sinon ce n'est pas très compliqué, scanner le QR code avec son smartphone, taper le code généré, garder les codes de secours et voilà. À chaque connexion depuis un nouvel ordinateur, il demandera un code généré aléatoirement. — Thibaut (会話) 12 novembre 2016 à 20:38 (CET)[répondre]

@Cantons-de-l'Est : meta:Help:Two-factor authentication vient d’être créée. — Thibaut (会話) 13 novembre 2016 à 01:26 (CET)[répondre]

Et pour les gens qui ne sont pas détenteurs d'un smartbidule

(moi par exemple) ? Une double identification avec une clef unique sur clef usb, par exemple, ne serait-ce pas envisageable ? — Jules ^Discuter 13 novembre 2016 à 01:34 (CET)[répondre]

Malheureusement pas, pour l'instant la double authentification ne fonctionne qu'avec un smarbidule. Linedwell ^[discuter] 13 novembre 2016 à 07:27 (CET)[répondre]

@Linedwell : Pas forcément.

@Jules : Euh, t’as au moins un simple portable ? C'est quoi la marque et le modèle ? Il existe des applications Java comme [1]. Sinon effectivement pour la yubikey, il faudrait faire la proposition sur Phabricator. — Thibaut (会話) 13 novembre 2016 à 14:13 (CET)[répondre]

@Thibaut120094 : oui, j'ai un simple portable, un Samsung très basique (premier prix, à peu près celui-là mais plus vieux), sans Internet, avec un écran de 2 cm × 2 cm. Bref, je doute qu'on puisse faire quoique ce soit d'autre avec que téléphoner, laborieusement envoyer des sms ou programmer un réveil

– et ça me convient très bien. — Jules ^Discuter 13 novembre 2016 à 14:33 (CET)[répondre]

Alors il faut que la fondation offre un smartphone de fonction à tous les admins

-- Habertix (discuter) 13 novembre 2016 à 14:37 (CET).[répondre]

Ah oui tiens bonne idée

.

J’ai ouvert une tâche sur Phabricator pour proposer de supporter les yubikeys comme possibilité d’authentification, pas sûr que ce soit accepté mais ça ne coûte rien d'essayer. — Thibaut (会話) 13 novembre 2016 à 14:47 (CET)[répondre]

Ah bah tiens, je songeais à demander un vrai smartphone au père noël mais si la fondation nous l'offre, je vais attendre !

'toff ^[discut.] 13 novembre 2016 à 16:27 (CET)[répondre]

Peut-être aller rechercher du côté des add-ons pour l'avoir sur PC [2]. N'ayant pas chrome, je n'ai pas pu tester. — Gratus (discuter) 13 novembre 2016 à 16:43 (CET)[répondre]

Oui, ça existe aussi sur PC, mais c’est plus sûr si c'est sur quelque chose de séparé. — Thibaut (会話) 13 novembre 2016 à 16:45 (CET)[répondre]

Merci pour le lien. Il me semble préférable de l'avoir sur PC qu'uniquement sur mobile. Ainsi, on peut quand même accéder à WP si le tel tombe en panne (ou autre) ou si on a pas de téléphone (si si ça existe

). Pour obtenir le code, il faut que l'utilisateur trouve le mot de passe que l'on met sur WinAuth puis sache à quel compte ça correspond, ce qui rend le système assez sûr. Je me permet de notifier

Jules78120 qui sera ravis de voir qu'un smartbidule ou un simple portable n'est pas nécessaire. [EDIT] De plus, le logociel étant portable, on peut le transporter sur clé USB et ainsi éviter des "récupération opportunistes" Cordialement,— Gratus (discuter) 13 novembre 2016 à 20:40 (CET)[répondre]

En lisant (vite fait) la doc je ne comprends pas la référence plus haut à « à chaque connexion depuis un nouvel ordinateur, il demandera un code généré aléatoirement » → comment est détecté un « nouvel ordinateur » ?

Par ailleurs +1 au fait que ça ne soit pas restreint au smartphone. En effet même si j'ai habituellement un smartphone il se trouve que − là maintenant − je suis à la fois en rade de smartphone et en train de configurer ma nouvelle machine ! Hexasoft (discuter) 13 novembre 2016 à 23:59 (CET)[répondre]

Oui en fait je voulais dire à chaque nouvelle authentification (je pars du principe que vous restez authentifié sur votre ordinateur personnel). — Thibaut (会話) 14 novembre 2016 à 15:37 (CET)[répondre]

Ok merci pour la précision. Hexasoft (discuter) 14 novembre 2016 à 15:56 (CET)[répondre]

Le problème c'est que quand on se connecte ailleurs que sur l'ordinateur personnel et qu'on se déconnecte, cela ferme toutes les sessions actives. - Ash - (Æ) 18 novembre 2016 à 13:46 (CET)[répondre]

C’est maintenant disponible aussi pour les modificateurs de filtres. — Thibaut (会話) 15 novembre 2016 à 13:06 (CET)[répondre]

Si on est dans aucun des groupes cités ci-dessus, il semblerait qu’il soit possible de faire une demande aux stewards pour être ajouté au groupe « oathauth-tester ». Cordialement. — Thibaut (会話) 18 novembre 2016 à 22:04 (CET)[répondre]

Comme je l'ai évoqué sur la mailing-list des CU il me semble qu'il pourrait y avoir d'autres approches à la sécurité des comptes privilégiés.

Par exemple pouvoir enregistrer dans ses préférences une liste d'IPs ou de sous-réseaux depuis lesquels on est autorisé à utiliser nos « pouvoirs » (admin/CU dans mon cas). Parce que pour ma part je ne traite jamais d'actions de ce type en dehors de mes lieux sécurisés (chez moi, IP fixe, ou mon boulot, quelques IPs dans un subnet défini, adresses depuis lesquelles je doute fortement qu'un pirate ayant récupéré mon mot de passe puisse réussir à éditer…).

Si on pouvait définir de telles restrictions − qui elles pourraient nécessiter une double authentification − ça limiterait fortement la possibilité d'usurpation de droits. Par ailleurs il faudrait aussi que tout changement dans les préférences − y compris un changement d'adresse mail − envoie un mail à l'adresse de contact (ou à l'ancienne adresse de contact en cas de changement) : ça permettrait de savoir si quelqu'un manipule nos préférences (comme on reçoit un mail sur une demande de changement de mot de passe). Hexasoft (discuter) 19 novembre 2016 à 01:05 (CET)[répondre]

Hexasoft, Hmmm. Les réseaux IP allouent dynamiquement les adresses IP et des FAI sont propriétaires de millions d'adresses IP, qu'ils peuvent « prêter » à de multiples endroits sur le territoire national. En ce qui me concerne, j'agis surtout de la maison, mon FAI couvre un territoire où vivent des millions d'internautes et, je pense, il fait affaire avec de 25 000 à 100 000 clients. Je vous laisse imaginer le nombre de sous-réseaux dynamiques qu'il peut créer. Par ailleurs, si un compétiteur l'achète, le réseau de la nouvelle société grandira. Sans compter que des FAI louent des blocs d'adresses IP. Donc, cette proposition n'est pas viable pour une communauté mondiale.

Quant à la proposition d'envoyer un courriel de confirmation, elle ne sera utile que si le pirate modifie une préférence. Il peut vandaliser les contenus sans modifier les paramètres et le propriétaire du compte ne le saura pas (qui, en effet, parcourt quotidiennement ses contributions ?). — Cantons-de-l'Est ^discuter 19 novembre 2016 à 14:31 (CET)[répondre]

Cantons-de-l'Est : pour les réseaux oui ils sont « grands ». Encore que certains FAI fournissent des IPs statiques, et même nombres de grands réseaux découpent leurs accès en zones.

L'idée d'une restriction par IP n'est pas de présumer qu'on a une IP fiable mais de rendre difficile l'exploitation du compte. En effet c'est une chose de trouver un mot de passe de compte, c'en est une autre que de se procurer en plus un accès internet qui soit lié au même FAI et au(x) même(s) sous-réseau(x) pour s'en servir. Ce n'est pas impossible, mais rien ne l'est (y compris détourner le 2ème élément de la double authentification !).

C'est selon moi un autre élément de sécurité, adapté pour ceux qui contribuent − en tout cas pour leurs activités admin/CU − uniquement depuis quelques lieux limités en terme réseau.

Sinon oui on peut vandaliser, mais quelqu'un s'en rendra compte (même si ce n'est pas nous). Par contre si le mail est modifié on sait immédiatement que le compte est perdu (puisqu'il devient impossible de réinitialiser le mot de passe), autant être informé au plus vite… Hexasoft (discuter) 19 novembre 2016 à 15:09 (CET)[répondre]

Pour la restriction par IP, c'est similaire à ce que propose Special:BotPasswords. Sinon je suis d’accord, à chaque changement d’email ou de mot de passe, une notification devrait être envoyée à l'adresse de contact comme sur d'autres services. ~~Peut-être à proposer sur Phabricator ?~~ déjà fait : phab:T28227. Cordialement. — Thibaut (会話) 19 novembre 2016 à 15:30 (CET)[répondre]

Mardi 8 novembre[modifier le code]

Nettoyage excessif par Zerobot[modifier le code]

Bonjour,

Je vous signale que Zerobot cafouille dans le traitement des archivages des RA dans les sous-pages par semaine. J'ai laissé un message à son dresseur. Comme le bot fait plein d'autres choses et que la rectification ne sera pas très compliquée, même s'il faut le faire à la main, je n'ai pas bloqué le bot.

Cela ne touche que celles marquées "traitée=oui". Donc les RA en cours ne vont pas se fermer toutes seules .

-- Habertix (discuter) 9 novembre 2016 à 00:21 (CET).[répondre]

J'ajoute que la page WP:DRP n'est plus archivée par Zérobot depuis le 4 novembre. J'ai ajouté un message sur la PdD de Toto Azéro pour l'en informer. Shawn (discuter) 11 novembre 2016 à 15:59 (CET)[répondre]

WP:DIPP non plus. — Zebulon84 (discuter) 11 novembre 2016 à 16:58 (CET)[répondre]

Fait manuellement pour toutes les pages sauf RA, pour lequel le bot s'est réveillé. --Framawiki ^✉ 16 novembre 2016 à 20:49 (CET)[répondre]

Lundi 7 novembre[modifier le code]

Quelle attitude adopter ?[modifier le code]

Bonjour à tous les administrateurs,

Je poste le message ici parce que je ne sais pas à l'heure actuelle s'il "mérite" de faire l'objet d'une RA...

Il s'agit du "cas" Lurulu.

Pour mémoire, il s'agit d'un compte promotionnel qui sévit habituellement dans le domaine musical. D'habitude, soit il n'y a pas de source, soit il utilise massivement les réseaux sociaux pour sourcer, soit encore des sites persos. A un moment donné, il avait aussi pour particularité de multiplier les petites modifs à la chaine.

Pour le coup, il a été mis en place un filtre le concernant il y a un bout de temps maintenant (le filtre 247). Et justement, un compte, Studiocine (d · c · b), est intervenu ce dimanche à la suite du déclenchement du filtre 247 sur l'article Doudou Masta afin d'effectuer exactement la même modification que celle bloquée par le filtre.

J'ai jeté un coup d’œil sur les contributions de ce compte, et le fait que très peu de ces contributions (pour ce que j'ai pu voir en tout cas) n'est sourcée. Seules quelque-unes de ses créations indiquent l'identifiant IMDB, mais pour le reste pratiquement pas de source en 4 ans de présence sur wikipédia.

J'ai demandé une RCU qui indique selon schlum la « possibilité non négligeable d’un retour de Lurulu ; accès dans la même (grande) ville avec le même FAI et une configuration technique similaire ».

A titre personnel, j'ai peu de doutes qu'il s'agit d'une même société chargée des relations promotionnelles des artistes, mais voila, cette fois-ci, les contributions ne sont pas dans le domaine musical mais dans le domaine ciné/télé.

A noté que le compte Studiocine (d · c · b) usurpe à priori l'identité d'un site internet et d'une société basée à Tours. --Fanchb29 (discuter) 7 novembre 2016 à 14:10 (CET)[répondre]

Bonjour - Dans l'immédiat, il n'est pas besoin d'un avertissement au moyen d'une RA ; il me semble qu'il suffit de le prévenir immédiatement des conséquences pour son compte de toute répétition de la séquence de dimanche. Les filtres n'ont pas été inventés pour que leur efficacité soit contredite à si peu de frais (faux-nez ou relation complaisante). TigH (discuter) 7 novembre 2016 à 17:39 (CET)[répondre]

+1 TigH. Studiocine se saura sous surveillance après avoir lu l'avertissement. S'il ne corrige pas le tir, il faudra envisager des moyens plus conséquents. — Cantons-de-l'Est ^discuter 7 novembre 2016 à 19:23 (CET)[répondre]

Par contre, le terme "studiociné" n'est pas assez rare pour que l'on dise qu'il "usurpe" réellement le nom de la société. SammyDay (discuter) 8 novembre 2016 à 18:18 (CET)[répondre]