Politique de ressources tierces

This page is a translated version of the page Third-party resources policy and the translation is 55% complete.

Outdated translations are marked like this.

This page contains a proposed policy regarding third-party resources. From June 05 to July 17, 2023 the Security team requested feedback on this proposal. Please find the closing notice and expected timeline for a decision regarding this proposal in this section of the talk page. You should not edit the proposed policy page directly.

Objectif

Les utilisateurs de Wikimedia peuvent utiliser des scripts utilisateurs, des gadgets ou des feuilles de style pour améliorer les fonctionnalités d'un site Wikimedia. Parfois, ces outils interagissent et partagent des données d’utilisateurs avec des ressources informatiques situées en dehors des serveurs Wikimedia : des ressources tierces. Cela a parfois entraîné des incidents de sécurité et de confidentialité pour les contributeurs. Pourtant, les Conditions d'utilisation de la Fondation Wikimedia interdisent de violer la vie privée d'autrui^[1]^[2] et soulignent également que les ressources tierces ne sont ni approuvées ni contrôlées par la Fondation.^[3] Afin d'offrir une meilleure confidentialité aux utilisateurs des projets Wikimedia, la politique suivante complète les Conditions d'utilisation de la Fondation en couvrant les aspects suivants

Les risques liés au chargement de ressources tierces
Les bonnes pratiques pratiques pour les développeurs de scripts de gadgets
Mesures administratives et techniques pour faire appliquer les bonnes pratiques
Conditions particulières pouvant autoriser des exemptions

Définitions

Voici une liste de définitions se rapportant à la politique::

Ressources tierces: Les ressources tierces sont des ressources informatiques situées en dehors des sites web Wikimedia.^[4] Elles peuvent inclure, entre autres, des scripts exécutables, des feuilles de style, des fichiers d'images et de polices, ainsi que des données JSON/JSONP.
Utilisateurs : les visiteurs et les contributeurs des sites web Wikimédia
Information personnelle : Toute information collectée par un outil qui pourrait être utilisée pour vous identifier. Pour une définition plus détaillée, veuillez consulter la politique de confidentialité principale de la Fondation Wikimedia..

Portée

La politique actuelle sur les ressources tierces s'applique aux scripts utilisateurs et aux gadgets utilisateurs qui interagissent avec des ressources informatiques situées en dehors des sites web Wikimédia. Cela peut inclure des scripts utilisateurs liés à l'apparence, des gadgets d'édition ou de lutte contre le vandalisme, pour n'en citer que quelques exemples, à condition que ces gadgets et scripts utilisateurs utilisent des ressources tierces.

Risques

Sécurité de l'information

Lorsqu'un gadget ou un script utilisateur charge une ressource tierce, cela permet à cette ressource de se positionner entre un site Wikimedia et les données d'un utilisateur. Bien que toutes les ressources tierces ne soient pas malveillantes, certaines peuvent être utilisées par leurs propriétaires à des fins malveillantes. Par exemple, le chargement de ressources tierces peut entraîner une attaque de type cross-site scripting (XSS), où la ressource chargée peut récupérer des cookies, des jetons de session ou d'autres informations sensibles auprès des utilisateurs finaux. De plus, étant donné que la Fondation Wikimedia n'a aucun contrôle sur ces plateformes externes, les informations personnelles qu'elles collectent peuvent être divulguées de manière involontaire, volontairement remises aux autorités gouvernementales ou partagées avec des tiers.

Confidentialité et sécurité des utilisateurs

Un gadget ou un script d’utilisateur qui charge une ressource tierce fait bien plus que simplement se connecter à cette ressource. Les gadgets ou scripts d’utilisateurs qui se connectent à des ressources tierces peuvent également partager des informations sur les utilisateurs finaux, notamment l'appareil qu'ils utilisent, les informations de leur navigateur ainsi que leur localisation. Cela est particulièrement en ce qui concerne les gadgets activés par défaut sur certains projets de Wikimedia, car le partage de données peut passer inaperçu. De plus, si la ressource tierce dispose de fonctionnalités de traçage, tout gadget ou script qui la charge pourrait entraîner l'analyse du comportement des utilisateurs finaux contre leur volonté ou sans leur consentement, avec une réutilisation à des fins de monétisation, de surveillance ou d'autres utilisations indésirables.

Précautions requises

Éviter le chargement de ressources externes

Les gadgets et les scripts utilisateurs ne doivent pas charger de ressources tierces. Les développeurs de ces outils doivent passer en revue leur code pour s'assurer qu'il ne comporte aucune connexion réseau distante (par exemple, HTTP, WebSocket) vers une ressource tierce.

Considérer des scripts alternatifs

Lorsque cela est possible, les développeurs de gadgets et de scripts utilisateurs peuvent réutiliser des ressources déjà disponibles sur les serveurs de Wikimedia. Par défaut, MediaWiki est livré avec plusieurs scripts ou modules. Avant de considérer des ressources tierces, les développeurs pourraient explorer s'il existe des modules MediaWiki ou des scripts utilisateurs créés par la communauté et qui pourraient atteindre le même objectif. Dans le cas où l’on choisit de réutiliser ou en d’améliorer les scripts disponibles au sein de la communauté, il est également recommandé de suivre les lignes directrices générales sur le développement de gadgets notamment sur des aspects comme la gestion des erreurs et la maintenance du code.

Exemptions

Opt-in exemption granted by users

By default, gadgets and userscripts are not allowed to load non-production resources. However, users can authorize some gadgets and userscripts to load third-parties. In this case, users must opt-in — give their informed consent before using those specific gadgets and userscripts. While it is expected that users must express their consent through a flow similar to OAuth authorization, the practical implementation of this opt-in mechanism is purposely not written in detail in this policy. Instead, the opt-in exemption principle is referenced here to support the practical implementation once it is in place.^[5]

Additional transparency requirements

Although users' consent is required, a third-party resource must also meet a number of transparency conditions before being embedded in gadgets and userscripts. To be exempted, an external resource must:

Have its source code public and referenced at Third-party resources policy/Noticeboard, alongside an up-to-date description of the personal information processed, and a point of contact for raising issues. This will help ensure public scrutiny and some auditability of the resource.
If the third-party resource is hosted on Wikimedia Cloud Services code, its code should comply with WMCS terms of use. Also, its code must be inspectable — the WMCS resource developer must ensure that the code hosted on WMCS is human-readable, except for configuration files containing credentials. This will ensure that automated code scanning and other auditing mechanisms can be carried out for better security and privacy.

Enforcement

If the use of third-party resources results in the violation of this policy, two sets of actions can help safeguard the privacy of end-users: manual removal and automated disabling.

Manual removal

Manual removal involves a direct intervention by Wikimedia users.

If you hold sufficient permissions and come across a gadget or user script which violates this policy, you can proceed in blanking the page and notify its author with a message on their talk page. If you are unsure whether you should remove the gadget or user script, please report it to an Administrator or Steward or send an email to the Foundation’s Security team (security-team[at]wikimedia.org).

Automated disabling through CSP

Automated disabling involves disabling at the software or server level with no direct human intervention. In the current policy, automated disabling takes the form of Content Security Policy (CSP). CSP is a layer of security within the MediaWiki software which can prevent the loading of third-party resources. Currently, this feature does not block any third-party resources but is only enabled in report-only mode on some wikimedia projects.^[6]However, there are ongoing discussions to set CSP to enforce on all Wikimedia projects at some point in the future. Once it is in effect, CSP will also enforce this policy and bar user scripts and gadgets from loading third-party resources in production, unless those are covered by this policy's exemptions.

↑ Art 4 des Conditions d'utilisation de la Fondation, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#4._Refraining_from_Certain_Activities ↑ La politique de confidentialité de la Fondation ne s’applique pas à l'usage que les tierces parties font des informations qu'elles reçoivent. Consulter la section Ce que la présente politique de confidentialité ne couvre pas de la politique de confidentialité ↑ Art 9 des Conditions d'utilisation de la Fondation, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#9._Third-party_Websites_and_Resources ↑ Le terme "production" est traditionnellement utilisé pour identifier les projets centraux, sites techniques, sites de la fondation, et bon nombre de sites de la communauté Wikimedia. ↑ It is worth noting that an opt-in exemption based on CSP was proposed in the past, see https://phabricator.wikimedia.org/T208188 ↑ MediaWiki's CSP is enabled in report-only mode for group0 wikis, outreachwiki and small wikis. It doesn't block any external resources anywhere EXCEPT for the CentralNotice banner previews

[1] Art 4 des Conditions d'utilisation de la Fondation, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#4._Refraining_from_Certain_Activities

[2] La politique de confidentialité de la Fondation ne s’applique pas à l'usage que les tierces parties font des informations qu'elles reçoivent. Consulter la section Ce que la présente politique de confidentialité ne couvre pas de la politique de confidentialité

[3] Art 9 des Conditions d'utilisation de la Fondation, https://foundation.wikimedia.org/wiki/Terms_of_Use/en#9._Third-party_Websites_and_Resources

[4] Le terme "production" est traditionnellement utilisé pour identifier les projets centraux, sites techniques, sites de la fondation, et bon nombre de sites de la communauté Wikimedia.

[5] It is worth noting that an opt-in exemption based on CSP was proposed in the past, see https://phabricator.wikimedia.org/T208188

[6] MediaWiki's CSP is enabled in report-only mode for group0 wikis, outreachwiki and small wikis. It doesn't block any external resources anywhere EXCEPT for the CentralNotice banner previews

[1]

[2]

[3]

[4]

[5]

[6]