Des pirates informatiques ont pris le contrôle des comptes de deux utilisateurs de l’offre de gestion de crédit d’Experian, avec une inquiétante facilité.

À la suite des révélations d’inclusions de paquets malveillants dans les dépôts de PyPI (principal dépôt open source en Python), la Python Software Foundation (PSF) va généraliser l’authentification à 2 facteurs (2FA) pour les projets les plus critiques, c’est-à-dire les 1 % les plus téléchargés (soit 3 500 projets sur les 350 000 que compte PyPI).

« Nous avons commencé à mettre en place une exigence 2FA : bientôt, les responsables de projets critiques devront avoir activé l’authentification à deux facteurs pour publier, mettre à jour ou modifier ces projets », détaille la PSF. La fondation précise par ailleurs que tout projet labellisé « critique » le restera, même s’il sort des 1 % les plus téléchargés, faisant ainsi croître le nombre de projets critiques dans le temps.

Pour faciliter cette généralisation du 2FA, Google Open Source, sponsor de la PSF, a décidé de fournir gratuitement 4 000 clés Google Titan aux développeurs de ces projets critiques.

La commercialisation de ces clés n’étant autorisée que dans certains pays (Autriche, Belgique, Canada, France, Allemagne, Italie, Japon, Espagne, Suisse, Royaume-Uni, États-Unis), les mainteneurs des autres régions devront acheter une clé de sécurité FIDO U2F ou activer le 2FA via une application mobile.

PyPI conseille également aux développeurs de se doter de plusieurs méthodes 2FA, notamment en cas de perte ou de casse d’une clé de sécurité : « Sans plusieurs options 2FA, l’effet de la perte d’une méthode 2FA impose de récupérer entièrement un compte, une opération lourde et longue, à la fois pour les mainteneurs et les administrateurs de PyPI. L’activation de plusieurs méthodes 2FA réduit les perturbations potentielles si l’une d’entre elles est perdue ».

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.