Un ver JavaScript capable de se propager automatiquement a été utilisé pour vandaliser des milliers de pages de Wikipédia. C’est par l’intermédiaire des scripts utilisateurs, destinés à personnaliser l’expérience d’utilisation, que ce code malveillant s’est propagé. Voici ce que l’on sait.

Cette attaque n’aura duré que 23 minutes, mais elle nous rappelle à quel point la situation peut vite dégénérer. Alors que Wikipédia est habituée au vandalisme manuel de la part de certains utilisateurs, l’incident survenu jeudi dernier est à part : il s’agit d’une attaque automatisée basée sur un code JavaScript malveillant. En effet, un script malveillant a réussi à exploiter les droits des comptes connectés pour altérer les pages et se propager.

Un mécanisme de propagation via les scripts utilisateurs

D’après les premières analyses, tout a commencé via un bout de code hébergé sur la version russe de Wikipédia (associé à ) et présent sur les serveurs depuis mars 2024. Ce script a été déclenché le 5 mars 2026.

Celui que l’on pourrait qualifier de “patient zéro” est un compte appartenant à un employé de la Wikimedia Foundation. Lors de tests internes, les manipulations effectuées à partir de ce compte ont déclenché l’exécution initiale de ce script, ce qui a infecté le navigateur de l’employé.

Une fois activé dans le navigateur de cette première victime, le ver a activé sa routine d’infection en ciblant directement deux fichiers JavaScript utilisé sur les projets de MediaWiki :

• : le script personnel de l’utilisateur, souvent utilisé pour personnaliser l’interface d’édition.
• : un fichier partagé par l’ensemble du site, exécuté par tous les visiteurs pour charger des outils communs.

Ensuite, chaque utilisateur visitant une page infectée ou exécutant le script partagé risquait de voir son propre fichier modifié, devenant à son tour un vecteur de propagation de ce ver JavaScript.

Vandalisme de masse sur les projets Wikimedia

La finalité de ce script : vandaliser le contenu. Grâce à l’appel d’une fonction interne nommée , le script ouvrait des pages au hasard. Il insérait alors une image et injectait un nouveau chargeur JavaScript pointant vers un serveur externe, multipliant ainsi les points d’entrée potentiels.

Cet incident de sécurité aurait eu un impact sur Meta-Wiki (le site de coordination des projets Wikimedia) et il aurait entraîné la modification de pages sur Wikipedia. D’après les informations relayées par BleepingComputer, on parle :

• 3 996 pages vandalisées.
• 85 comptes utilisateurs ayant vu leur configuration personnelle altérée par le ver.

Face à la rapidité de la contagion, les équipes de sécurité de Wikimedia n’ont eu d’autre choix que de suspendre temporairement toute possibilité d’édition sur les projets concernés. Cela a permis d’arrêter l’hémorragie, et surtout de faire le nettoyage en restaurant les versions propres des éléments infectés. D’après la fondation Wikimédia, aucune donnée personnelle n’a été exfiltrée durant l’attaque.

Source