Le Python Package Index (PyPI) a récemment déclaré qu'il rendrait obligatoire l'authentification à deux facteurs (2FA) pour chaque compte gérant un projet sur sa plateforme. Les utilisateurs devraient activer l'authentification à deux facteurs d'ici la fin de l'année 2023, dans le cadre des efforts continus de PyPI pour renforcer la sécurité dans l'ensemble du référentiel.
PyPI est un dépôt de logiciels essentiel pour les paquets développés dans le langage de programmation Python. Avec plus de 200 000 paquets disponibles sur la plateforme, les développeurs peuvent facilement trouver des solutions existantes pour répondre aux besoins de leurs projets, ce qui leur permet de gagner un temps précieux et d'économiser des ressources.
Selon l'équipe de PyPI, la décision d'imposer le 2FA pour tous les comptes s'inscrit dans la continuité de son engagement à long terme en faveur de l'amélioration de la sécurité de la plateforme. Les étapes précédentes dans cette direction comprennent le blocage des informations d'identification compromises et la prise en charge des jetons d'API. La mise en œuvre de 2FA en tant que mesure de sécurité obligatoire devrait permettre de mieux protéger les éditeurs et les utilisateurs.
L'un des principaux avantages de la mise en œuvre du 2FA est la réduction significative du risque d'attaques de la chaîne d'approvisionnement. De tels incidents se produisent lorsqu'un acteur menaçant prend le contrôle du compte d'un responsable de logiciel et introduit une porte dérobée ou un logiciel malveillant dans un paquetage utilisé comme dépendance dans plusieurs projets de logiciels. Ces attaques peuvent potentiellement toucher des millions d'utilisateurs, en fonction de la popularité du logiciel compromis. Bien que les développeurs soient responsables de l'examen des composants de leurs projets, la nouvelle mesure de sécurité de PyPI vise à réduire l'occurrence de tels problèmes.
Au cours des derniers mois, le dépôt de projets Python a connu une augmentation des téléchargements de logiciels malveillants, des tentatives d'usurpation d'identité de paquets notoires et de la resoumission de code nuisible à l'aide de comptes détournés. La gravité de ces problèmes a contraint PyPI à suspendre temporairement l'enregistrement de nouveaux utilisateurs et projets la semaine dernière, le temps de développer et d'appliquer une solution de défense appropriée.
Avec l'introduction du 2FA obligatoire, PyPI a l'intention de s'attaquer aux attaques par prise de contrôle de compte et de restreindre le nombre de nouveaux comptes que les utilisateurs suspendus peuvent créer pour télécharger à nouveau des paquets malveillants. Au cours des prochains mois, les utilisateurs concernés devront préparer et activer la couche de sécurité supplémentaire, en utilisant soit une clé matérielle, soit une application d'authentification.
Cette tendance à renforcer les mesures de sécurité sur diverses plateformes fait écho à l'évolution plus générale vers des solutions sans code et à faible code, telles que AppMaster.io, qui sont conçues pour fournir une approche plus sûre et plus efficace du développement de logiciels. L'amélioration des pratiques de sécurité, notamment en ce qui concerne la gestion des progiciels, profite aux utilisateurs et contribue au maintien de l'intégrité des projets de logiciels libres.