PyPI : le dépôt de code open source est infesté de malwares

PyPI : le dépôt de code open source est infesté de malwares

PyPI, le référentiel officiel des packages Python, subit régulièrement des vagues d'activités malveillantes. Encore récemment, des experts en cybersécurité ont révélé qu'un package était infecté de malwares. Face à la récurrence du problème, PyPI décide d'imposer l'authentification à deux facteurs d'ici fin 2023.

Comprendre PyPI

PyPI contient des milliers de packages Python qui peuvent être installés et utilisés dans des programmes Python. À disposition des développeurs, de simples modules utilitaires mais aussi des bibliothèques et des frameworks complexes

Python Package Index permet aux programmeurs Python de partager facilement leur code avec d'autres et vice versa. Cela a conduit au développement de nombreux projets open source de haute qualité qui peuvent être utilisés par les développeurs du monde entier.

PyPI fournit également un certain nombre de fonctionnalités et d'outils pour aider les utilisateurs à gérer leurs packages. Ceux-ci incluent des outils pour télécharger et gérer des packages, ainsi que des outils pour rechercher et parcourir des packages.

Des activités malveillantes à répétition

La popularité de PyPI en fait une cible privilégiée pour les acteurs malveillants. Vers la fin du mois de mai, celui-ci a encore une fois été la cible des hackers. Un acteur malveillant a en effet inondé un package de référentiel de téléchargements automatisés malveillants.

Cette situation a d'ailleurs amené les équipes de PyPI à suspendre temporairement toute nouvelle adhésion et toute création de nouveaux projets par les utilisateurs existants. Aucun détail supplémentaire n'a été dévoilé sur cette énième attaque, si ce n'est que la suspension a été levé au bout de 24 heures.

PyPI déplore ces activités malveillantes à répétition. Au-delà des cybercriminels, l'équipe doivent aussi traiter les « attaques expérimentales » menées par certains chercheurs et étudiants « à des fins académiques ». Elle cite notamment l'exemple de ce doctorant qui avait injecté de faux correctifs sur le noyau Linux. Il y a aussi ces chercheurs qui mènent des attaques de preuve de concept.

PyPI : l'authentification à deux facteur bientôt obligatoire

L'équipe de sécurité de PyPI explique aussi que la compromission des comptes des utilisateurs fait parties principales vecteurs d'attaque sur l'index. Face à quoi, elle décide d'imposer aux utilisateurs l'authentification à double facteurs d'ici fin 2023.

Grâce à quoi, PyPI espère endiguer les attaques de prise de contrôle de compte qui sont largement utilisées pour compromettre les utilisateurs de PyPI. La sécurité de la chaîne d'approvisionnement dans la communauté open source est aujourd'hui est cœur des préoccupation. Ce qui explique en grande partie ce mandat de 2FA.

D'ici la fin de l'année, PyPI commencera à bloquer l'accès à certaines fonctionnalités du site pour les utilisateurs qui n'appliquent pas l'authentification à double facteurs. Par ailleurs, certaines utilisateurs seraient amené à appliquer la décision de façon anticipée, indique PyPI. Ce dernier ne fournit pas plus de précision sur les critères de sélection.

Restez à la pointe de l'information avec LEBIGDATA.FR !

Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités pour garder une longueur d'avance.

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *