PyPI, le référentiel officiel des packages Python, subit régulièrement des vagues d’activités malveillantes. Encore récemment, des experts en cybersécurité ont révélé qu’un package était infecté de malwares. Face à la récurrence du problème, PyPI décide d’imposer l’authentification à deux facteurs d’ici fin 2023.
Comprendre PyPI
PyPI contient des milliers de packages Python qui peuvent être installés et utilisés dans des programmes Python. À disposition des développeurs, de simples modules utilitaires mais aussi des bibliothèques et des frameworks complexes.
Python Package Index permet aux programmeurs Python de partager facilement leur code avec d’autres et vice versa. Cela a conduit au développement de nombreux projets open source de haute qualité qui peuvent être utilisés par les développeurs du monde entier.
PyPI fournit également un certain nombre de fonctionnalités et d’outils pour aider les utilisateurs à gérer leurs packages. Ceux-ci incluent des outils pour télécharger et gérer des packages, ainsi que des outils pour rechercher et parcourir des packages.
Des activités malveillantes à répétition
La popularité de PyPI en fait une cible privilégiée pour les acteurs malveillants. Vers la fin du mois de mai, celui-ci a encore une fois été la cible des hackers. Un acteur malveillant a en effet inondé un package de référentiel de téléchargements automatisés malveillants.
Cette situation a d’ailleurs amené les équipes de PyPI à suspendre temporairement toute nouvelle adhésion et toute création de nouveaux projets par les utilisateurs existants. Aucun détail supplémentaire n’a été dévoilé sur cette énième attaque, si ce n’est que la suspension a été levée au bout de 24 heures.
PyPI déplore ces activités malveillantes à répétition. Au-delà des cybercriminels, l’équipe doit aussi traiter les “attaques expérimentales” menées par certains chercheurs et étudiants “à des fins académiques”. Elle cite notamment l’exemple de ce doctorant qui avait injecté de faux correctifs sur le noyau Linux. Il y a aussi ces chercheurs qui mènent des attaques de preuve de concept.
PyPI : l’authentification à deux facteurs bientôt obligatoire
L’équipe de sécurité de PyPI explique aussi que la compromission des comptes des utilisateurs fait partie des principaux vecteurs d’attaque sur l’index. Face à quoi, elle décide d’imposer aux utilisateurs l’authentification à double facteurs d’ici fin 2023.
Grâce à quoi, PyPI espère endiguer les attaques de prise de contrôle de compte qui sont largement utilisées pour compromettre les utilisateurs de PyPI. La sécurité de la chaîne d’approvisionnement dans la communauté open source est aujourd’hui au cœur des préoccupations. Ce qui explique en grande partie ce mandat de 2FA.
D’ici la fin de l’année, PyPI commencera à bloquer l’accès à certaines fonctionnalités du site pour les utilisateurs qui n’appliquent pas l’authentification à double facteurs. Par ailleurs, certains utilisateurs seraient amenés à appliquer la décision de façon anticipée, indique PyPI. Ce dernier ne fournit pas plus de précisions sur les critères de sélection.
#PyPI #subit #encore #des #activités #malveillantes
publish_date] pt]
