16/12/2024

Actu CybersécuritéWeb

Python : le 2FA obligatoire sur PyPI d’ici la fin de l’année 2023 !

Tous les développeurs qui disposent d'un compte sur PyPI pour gérer un projet vont devoir activer et configurer l'authentification à deux facteurs sur leur compte d'ici la fin de l'année 2023.

Pour rappel, PyPI c'est le dépôt de référence pour les paquets créés avec le langage de programmation Python. Il est très populaire et compte plus de 200 000 paquets. D'ailleurs, sa popularité pousse parfois les cybercriminels à l'utiliser dans le cadre d'attaques, comme par exemple avec des attaques de type typosquatting.

Pour renforcer la sécurité de sa plateforme, l'équipe de PyPI a pris la décision de rendre le 2FA obligatoire ! Précédemment, et toujours dans l'idée d'améliorer la sécurité, l'équipe de PyPI avait ajouté la prise en charge des jetons d'API.

Grâce au MFA et à la protection supplémentaire qu'il apporte sur les comptes, il y a moins de risques d'avoir une attaque supply chain. En effet, ce type d'attaque se produit lorsqu'un attaquant parvient à compromettre le compte d'un développeur, ce qui lui donne accès au code du projet et lui permet d'ajouter une porte dérobée au paquet légitime. De ce fait, si d'autres paquets utilisent le paquet infecté comme dépendance, ils distribuent la porte dérobée ! Compte tenu de la popularité de certains paquets mis en ligne sur PyPI, cela peut être très impactant.

Toutefois, l'équipe de PyPI souhaite généraliser cette protection supplémentaire à l'ensemble des projets et ne pas faire la différence entre un projet populaire et un projet qui l'est moins. Dans l'annonce officielle, on peut lire : "Étant donné qu'il suffit d'un seul projet compromis, quel que soit le nombre de téléchargements, pour compromettre quelqu'un, nous voulons nous assurer que chaque projet est protégé par le système 2FA."

D'ici la fin de l'année 2023, les comptes sur PyPI doivent être protégés par le MFA, que ce soit à partir d'une application TOTP ou d'une clé physique. Voici les recommandations fournies par l'équipe de PyPI : "Les choses les plus importantes que vous pouvez faire pour vous préparer sont d'activer le 2FA pour votre compte dès que possible, soit avec une clé de sécurité (de préférence) ou une application d'authentification, et de passer à l'utilisation de Trusted Publishers (de préférence) ou de jetons d'API pour télécharger vers PyPI."

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.