Python : PyPI généralise le 2FA pour les projets critiques

À la suite des révélations d’inclusions de paquets malveillants dans les dépôts de PyPI (principal dépôt open source en Python), la Python Software Foundation (PSF) va généraliser l’authentification à 2 facteurs (2FA) pour les projets les plus critiques, c’est-à-dire les 1 % les plus téléchargés (soit 3 500 projets sur les 350 000 que compte PyPI).

« Nous avons commencé à mettre en place une exigence 2FA : bientôt, les responsables de projets critiques devront avoir activé l’authentification à deux facteurs pour publier, mettre à jour ou modifier ces projets », détaille la PSF. La fondation précise par ailleurs que tout projet labellisé « critique » le restera, même s’il sort des 1 % les plus téléchargés, faisant ainsi croître le nombre de projets critiques dans le temps.

Pour faciliter cette généralisation du 2FA, Google Open Source, sponsor de la PSF, a décidé de fournir gratuitement 4 000 clés Google Titan aux développeurs de ces projets critiques.

La commercialisation de ces clés n’étant autorisée que dans certains pays (Autriche, Belgique, Canada, France, Allemagne, Italie, Japon, Espagne, Suisse, Royaume-Uni, États-Unis), les mainteneurs des autres régions devront acheter une clé de sécurité FIDO U2F ou activer le 2FA via une application mobile.

PyPI conseille également aux développeurs de se doter de plusieurs méthodes 2FA, notamment en cas de perte ou de casse d’une clé de sécurité : « Sans plusieurs options 2FA, l’effet de la perte d’une méthode 2FA impose de récupérer entièrement un compte, une opération lourde et longue, à la fois pour les mainteneurs et les administrateurs de PyPI. L’activation de plusieurs méthodes 2FA réduit les perturbations potentielles si l’une d’entre elles est perdue ».