PyPI, le référentiel officiel des packages Python, subit régulièrement des vagues d’activités malveillantes. Encore récemment, des experts en cybersécurité ont révélé qu’un package était infecté de malwares. Face à la récurrence du problème, PyPI décide d’imposer l’authentification à deux facteurs d’ici fin 2023.
Comprendre PyPI
PyPI contient des milliers de packages Python qui peuvent être installés et utilisés dans des programmes Python. À disposition des développeurs, de simples modules utilitaires mais aussi des bibliothèques et des frameworks complexes.
Python Package Index permet aux programmeurs Python de partager facilement leur code avec d’autres et vice versa. Cela a conduit au développement de nombreux projets open source de haute qualité qui peuvent être utilisés par les développeurs du monde entier.
PyPI fournit également un certain nombre de fonctionnalités et d’outils pour aider les utilisateurs à gérer leurs packages. Ceux-ci incluent des outils pour télécharger et gérer des packages, ainsi que des outils pour rechercher et parcourir des packages.
Des activités malveillantes à répétition
La popularité de PyPI en fait une cible privilégiée pour les acteurs malveillants. Vers la fin du mois de mai, celui-ci a encore une fois été la cible des hackers. Un acteur malveillant a en effet inondé un package de référentiel de téléchargements automatisés malveillants.
Cette situation a d’ailleurs amené les équipes de PyPI à suspendre temporairement toute nouvelle adhésion et toute création de nouveaux projets par les utilisateurs existants. Aucun détail supplémentaire n’a été dévoilé sur cette énième attaque, si ce n’est que la suspension a été levé au bout de 24 heures.
PyPI déplore ces activités malveillantes à répétition. Au-delà des cybercriminels, l’équipe doivent aussi traiter les « attaques expérimentales » menées par certains chercheurs et étudiants « à des fins académiques ». Elle cite notamment l’exemple de ce doctorant qui avait injecté de faux correctifs sur le noyau Linux. Il y a aussi ces chercheurs qui mènent des attaques de preuve de concept.
PyPI : l’authentification à deux facteur bientôt obligatoire
L’équipe de sécurité de PyPI explique aussi que la compromission des comptes des utilisateurs fait parties principales vecteurs d’attaque sur l’index. Face à quoi, elle décide d’imposer aux utilisateurs l’authentification à double facteurs d’ici fin 2023.
An important update on our efforts to secure PyPI with multi-factor authentication: https://t.co/RPjnUweNP1
— Python Package Index (@pypi) May 25, 2023
Grâce à quoi, PyPI espère endiguer les attaques de prise de contrôle de compte qui sont largement utilisées pour compromettre les utilisateurs de PyPI. La sécurité de la chaîne d’approvisionnement dans la communauté open source est aujourd’hui est cœur des préoccupation. Ce qui explique en grande partie ce mandat de 2FA.
D’ici la fin de l’année, PyPI commencera à bloquer l’accès à certaines fonctionnalités du site pour les utilisateurs qui n’appliquent pas l’authentification à double facteurs. Par ailleurs, certaines utilisateurs seraient amené à appliquer la décision de façon anticipée, indique PyPI. Ce dernier ne fournit pas plus de précision sur les critères de sélection.
- Partager l'article :