PyPI, ou Python Package Index, distribue 4 000 clés de sécurité Google Titan dans le cadre de son initiative visant à rendre obligatoire l’authentification à deux facteurs (2FA) pour les projets critiques réalisés en langage de programmation Python.
Python est l’un des langages de programmation les plus populaires au monde. Il est apprécié pour l’étendue de ses paquets ou bibliothèques complémentaires qui le rendent utile pour la data science. Les développeurs doivent fréquemment mettre à jour ces paquets et des attaquants ont utilisé ce comportement pour ouvrir une porte dérobée sur les machines Windows, Linux et Apple par le biais de faux paquets dont le nom est similaire à celui des paquets légitimes.
PyPI, qui est géré par la Python Software Foundation (PSF), est le principal dépôt où les développeurs Python peuvent obtenir des paquets open source développés par des tiers pour leurs projets.
Menaces persistantes
PyPI et le dépôt équivalent de JavaScript, npm, agissent comme l’App Store et le Play Store pour les développeurs, mais ils ne sont pas fermés et les services gratuits ne disposent pas des ressources nécessaires pour vérifier les soumissions de paquets afin de détecter les logiciels malveillants.
Google, par l’intermédiaire de l’Open Source Security Foundation (OpenSSF) de la Linux Foundation, s’attaque à la menace des paquets de langage malveillant et des attaques de la chaîne d’approvisionnement des logiciels open source. Elle a trouvé plus de 200 paquets JavaScript et Python malveillants en un mois et a constaté des « conséquences dévastatrices » pour les développeurs et les organisations pour lesquelles ils écrivent du code lorsqu’ils les installent.
Une façon pour les développeurs de se protéger contre le vol d’informations d’identification est d’utiliser l’authentification à deux facteurs. La PSF rendra obligatoire l’utilisation de cette méthode pour les développeurs de « projets critiques » dans les mois à venir. PyPI n’a pas annoncé de date précise pour cette obligation.
« Nous avons commencé à mettre en place une exigence 2FA : bientôt, les responsables de projets critiques devront avoir activé l’authentification à deux facteurs pour publier, mettre à jour ou modifier ces projets », indique la PSF sur son compte Twitter PyPI.
Une exigence 2FA pour les projets critiques
Dans le cadre de cette campagne de sécurité, 4 000 clés de sécurité matérielles Google Titan seront distribuées aux responsables de projets, avec l’aide de l’équipe de sécurité open source de Google.
« Afin d’améliorer la sécurité générale de l’écosystème Python, PyPI a commencé à mettre en œuvre une exigence d’authentification à deux facteurs (2FA) pour les projets critiques. Cette exigence entrera en vigueur dans les prochains mois », indique la PSF dans un communiqué. « Afin de s’assurer que les mainteneurs de projets critiques ont la possibilité de mettre en œuvre une authentification à deux facteurs forte avec des clés de sécurité, l’équipe de sécurité Google Open Source, un sponsor de la Python Software Foundation, a fourni un nombre limité de clés de sécurité à distribuer aux mainteneurs de projets critiques. »
La PSF indique qu’elle considère comme critique tout projet figurant dans le top 1 % des téléchargements au cours des six derniers mois. Actuellement, il y a plus de 350 000 projets sur PyPI, ce qui signifie que plus de 3 500 projets sont considérés comme critiques. PyPI calcule ce chiffre quotidiennement, de sorte que le don de Titan devrait permettre de couvrir une grande partie des mainteneurs clés, mais pas tous. Au nom de la transparence, PyPI publie également les données sur les comptes 2FA ici. Il y a actuellement 28 336 utilisateurs avec 2FA activé, dont près de 27 000 utilisent une application 2FA comme Microsoft Authenticator. Il y a plus de 3 800 projets jugés « critiques » et 8 241 utilisateurs de PyPI dans ce groupe.
Le groupe critique est également susceptible de s’agrandir puisque les projets désignés comme critiques le restent indéfiniment tandis que de nouveaux projets sont ajoutés à l’obligation 2FA au fil du temps. La règle 2FA s’applique à la fois aux mainteneurs et aux propriétaires de projets.
La vente des clés Titan n’est pas autorisée partout
La vente des clés Titan n’est autorisée que dans certaines régions géographiques. Ainsi, seuls les développeurs d’Autriche, de Belgique, du Canada, de France, d’Allemagne, d’Italie, du Japon, d’Espagne, de Suisse, du Royaume-Uni et des Etats-Unis peuvent en recevoir une gratuitement, selon PyPI.
Les mainteneurs des autres régions qui devront utiliser 2FA doivent acheter une clé de sécurité FIDO U2F auprès de vendeurs comme Yubikey. Ils peuvent également activer le 2FA via une application mobile comme Google Authenticator, Microsoft Authenticator, Duo Mobile, Auth, FreeOTP+ ou FreeOTP ou un gestionnaire de mots de passe comme 1Password.
Les mainteneurs éligibles peuvent échanger un code promotionnel contre deux clés de sécurité Titan gratuites (USB-C ou USB-A), y compris la livraison gratuite sur le site de PyPI. Le code expire le 1er octobre.
Bien que la plupart des développeurs soient familiers avec le système 2FA, cette exigence pourrait créer des difficultés de connexion, par exemple si un utilisateur perd la clé 2FA et a configuré son compte avec une seule option 2FA.
« Sans plusieurs options 2FA, l’effet de la perte d’une méthode 2FA entraîne la nécessité de récupérer entièrement un compte, ce qui est lourd et prend du temps à la fois pour les mainteneurs et les administrateurs de PyPI. L’activation de plusieurs méthodes 2FA réduit les perturbations potentielles si l’une d’entre elles est perdue », prévient PyPl.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.