Dans le sillage de GitHub, PyPi impose le MFA

Clément Bohic,
Linkedin
PyPi MFA

Miné par l’activité malveillante, PyPi projette de rendre le MFA obligatoire cette année pour certains utilisateurs.

La double authentification pour tous ? PyPi s’y voit. Mais ce n’est pas encore d’actualité. Cette protection devrait toutefois devenir obligatoire d’ici à la fin de l’année pour deux types d’utilisateurs : les gestionnaires de projets et d’organisations.

En toile de fond, de multiples exemples d’activités malveillantes survenues sur la plate-forme ces dernières semaines. On a par exemple trouvé trace de centaines de paquets installant des extensions Chrome indésirables, destinées à pirater des transactions en cryptos. Ainsi, entre autres, que de chevaux de Troie et de bibliothèques malveillantes conçues pour exfiltrer des secrets.

PyPi met pour sa part en avant un incident survenue il y a un an tout juste, sur un projet qui comptait alors environ 1600 téléchargements par semaine. Pendant une dizaine de jours, un script introduit par l’intermédiaire d’un compte utilisateur compromis avait pu collecter le contenu de variables d’environnement lors de l’instanciation d’objets.

Des suites de cet incident, PyPi avait appelé ses utilisateurs à adopter plusieurs techniques de protection. Parmi elles, l’épinglage des versions, l’usage de hashs locaux… et le MFA.

Quelques semaines plus tard avait eu lieu une distribution de clés de sécurité physiques. PyPi avait alors annoncé son intention de rendre la double authentification obligatoire pour « les 1 % de projets comptant le plus de téléchargements ».

PyPi veut alléger sa charge avec le MFA

Les choses ont changé, nous explique-t-on aujourd’hui. PyPi affirme avoir « gagné en confiance » quant à son implémentation du MFA. Et explique que GitHub a ouvert la voie en avançant lui-même sur ce chantier.

Il en va aussi, pour PyPi, d’une nécessité d’alléger la charge pesant sur ses équipes. Le pari : la mise en œuvre du MFA sur ces comptes « stratégiques » réduira le nombre de compromissions et par là même les sollicitations urgentes. Accessoirement, cela pourrait éviter des indisponibilités comme celle subie la semaine dernière. Pendant plus de 24 heures, il n’avait plus été possible de créer de projets ni d’utilisateurs. La raison : l’activité malveillante avait « dépassé les capacités de réponse » de PyPi.

La mise en place du MFA sur les comptes concernés sera progressive. Elle pourra se faire avec un périphérique de sécurité conforme FIDO (clé, scanner biométrique, smart card, téléphone…) ou une app d’authentification. Pour inciter à faire la bascule, PyPi en fera une condition d’accès à certaines fonctionnalités. Il n’exclut pas, par ailleurs, de l’exiger de façon anticipée pour certains utilisateurs ou projets.

À consulter pour davantage de contexte :

OAuth arrive (doucement) sur les serveurs Exchange locaux
CircleCI : (encore) un piratage malgré le MFA
Les « clés de passe », vulnérables comme le MFA ?
Authentification : l’option « Apple ID + clé FIDO » activée

Photo d’illustration ©