Selon Ars Technica, la communauté Wikipedia débat d’un possible blacklistage d’Archive.today (archive.is) après qu’un JavaScript malveillant sur la page CAPTCHA du site a servi à lancer un DDoS contre le blog Gyrovague de Jani Patokallio. Trois options sont discutées: A) suppression/masquage de tous les liens et ajout à la spam blacklist, B) déprécier le service (pas de nouveaux liens) en conservant l’existant, C) statu quo.

⚠️ Détails techniques de l’attaque: le code injecté sur la page CAPTCHA déclenche, toutes les 300 ms, des requêtes vers la fonction de recherche de gyrovague.com en ajoutant une chaîne aléatoire pour éviter le cache, avec referrerPolicy: no-referrer et mode: no-cors, transformant chaque visiteur en participant involontaire au DDoS. L’attaque a cessé brièvement avant d’être réactivée. La page de discussion de Wikipedia a averti: « Ne pas visiter l’archive sans bloquer les requêtes vers gyrovague.com ».

🧩 Enjeux pour Wikipedia: plus de 695 000 liens Archive.today sont référencés sur environ 400 000 pages. Les partisans du blacklistage invoquent la sécurité des lecteurs; d’autres soulignent qu’Archive.today contient de nombreuses archives introuvables ailleurs (souvent utilisées pour contourner des paywalls), et craignent une explosion de liens morts. Un dossier du FBI en cours, visant l’identité du fondateur d’Archive.today, est cité comme facteur de risque futur. La Wikimedia Foundation (WMF) indique que la valeur en termes de vérifiabilité doit être pondérée par les risques de sécurité et n’exclut pas une intervention si nécessaire, notant que les actions malveillantes remettent aussi en question l’intégrité des archives hébergées.

🎯 Contexte de la cible: la campagne vise le blog de Jani Patokallio, auteur en 2023 d’un billet tentant d’identifier le fondateur d’Archive.today (alias « Denis Petrov »/« Masha Rabinovich »). L’intérêt s’est ravivé après une assignation du FBI (oct. 2025) au registrar Tucows, et des médias (dont Ars Technica, The Verge, Heise) ont renvoyé à ce billet. Patokallio publie des échanges d’emails attribués au webmaster d’Archive.today demandant de retirer temporairement l’article et proférant diverses menaces (ex. création d’une « nouvelle catégorie de porn IA » associée à son nom, allusions à un « grand-père nazi », projet de « gyrovague.gay »). Un blog Tumblr attribué au fondateur semble confirmer l’authenticité générale de ces messages. Patokallio indique que le DDoS n’a pas engendré de coûts supplémentaires pour lui (forfait d’hébergement à prix fixe).

📌 Décision en cours: la communauté pèse un compromis (Option B) ou un blacklistage complet (Option A), certains plaidant pour un soutien WMF à des solutions d’archivage alternatives (Internet Archive, ou système WMF). L’article est un article de presse spécialisé visant à informer sur un incident de sécurité (DDoS via JS côté client) et ses implications pour la gouvernance et la fiabilité des références sur Wikipedia.

🔗 Source originale : https://arstechnica.com/tech-policy/2026/02/wikipedia-might-blacklist-archive-today-after-site-maintainer-ddosed-a-blog/