Le Python Package Index (PyPI) a annoncé qu’il exigera que chaque compte qui gère un projet sur la plate-forme ait activé l’authentification à deux facteurs (2FA) d’ici la fin de l’année.
PyPI est un référentiel de logiciels pour les packages créés dans le langage de programmation Python. L’index héberge 200 000 packages, ce qui permet aux développeurs de trouver des packages existants qui répondent aux diverses exigences du projet, ce qui leur permet d’économiser du temps et des efforts.
L’équipe PyPI affirme que la décision de rendre 2FA obligatoire sur tous les comptes fait partie de leur engagement à long terme à améliorer la sécurité sur la plate-forme, en complément des mesures précédentes prises dans cette direction, comme le blocage des informations d’identification compromises et la prise en charge des jetons d’API.
L’un des avantages de la protection 2FA est le risque réduit d’attaques de la chaîne d’approvisionnement. Ces types d’attaques se produisent lorsqu’un acteur malveillant prend le contrôle du compte d’un mainteneur de logiciel et ajoute une porte dérobée ou un logiciel malveillant à un package utilisé comme dépendance dans divers projets logiciels.
Selon la popularité du package, de telles attaques peuvent avoir un impact sur des millions d’utilisateurs. Alors que les développeurs sont responsables d’inspecter minutieusement les éléments constitutifs de leur projet, la mesure de PyPI devrait permettre de minimiser plus facilement ce type de problème.
De plus, le référentiel du projet Python a souffert de téléchargements de logiciels malveillants effrénés, d’une usurpation d’identité de package célèbre et de la nouvelle soumission de code malveillant à l’aide de comptes piratés au cours des derniers mois.
Le problème a atteint une telle ampleur que la semaine dernière, PyPI a dû suspendre temporairement les enregistrements de nouveaux utilisateurs et projets jusqu’à ce qu’une solution de défense efficace puisse être développée et mise en œuvre.
La protection 2FA aidera à atténuer le problème des attaques de prise de contrôle de compte et devrait également fixer une limite sur le nombre de nouveaux comptes qu’un utilisateur suspendu peut créer pour télécharger à nouveau des packages malveillants.
Route vers 2FA
L’obligation de mettre en place 2FA sur tous les comptes de responsable de projet et d’organisation a la date limite jusqu’à la fin de 2023.
Au cours des mois suivants, il est recommandé aux utilisateurs concernés de préparer et d’activer la mesure de sécurité supplémentaire à l’aide d’une clé matérielle ou d’une application d’authentification.
« Les choses les plus importantes que vous puissiez faire pour vous préparer sont d’activer 2FA pour votre compte dès que possible, soit avec un dispositif de sécurité (préféré) ou une application d’authentification, et de passer à l’utilisation d’éditeurs de confiance (préférés) ou de jetons API pour télécharger sur PyPI. » -PyPI
L’équipe PyPI affirme que le travail préparatoire qu’elle a effectué au cours des mois précédents, comme l’introduction de « Trusted Publishing », combiné à des initiatives parallèles de plates-formes comme GitHub qui ont aidé les développeurs à se familiariser avec les exigences 2FA, font de cette année un excellent moment pour introduire la mesure.