2FA est une méthode de sécurité de gestion des identités et des accès qui nécessite deux formes d’identification.
L’année dernière, nous avons partagé la nouvelle ici sur le blog que les développeurs du référentiel de packages PyPI travaillaient sur la transition de PyPI vers l’authentification obligatoire à deux facteurs pour les packages critiques.
La raison de le mentionner est que la transition a déjà été achevée il y a quelques jours Et par le biais d’une annonce, les développeurs ont également annoncé la décision de déplacer tous les comptes d’utilisateurs qui gèrent au moins un projet ou font partie d’une organisation qui sélectionne des packages pour l’utilisation obligatoire de l’authentification à deux facteurs.
Article associé:
Dans PyPI, ils se préparent déjà à l’authentification à deux facteurs et un incident a déjà été signalé initialement
Utilisation de l’authentification à deux facteurs (mieux connu sous le nom de 2FA) c’est parce que le référentiel logiciel officiel pour Python, PyPI, est devenu la cible de nombreuses attaques à la chaîne d’approvisionnement ces dernières années, au cours desquelles des pirates informatiques ont compromis des comptes de maintenance pour injecter du code malveillant dans des projets.
Lors de l’application de 2FA pour les porteurs de projets, PyPI veut empêcher les attaques de prise de contrôle de comptegarantissant ainsi à la communauté que seules les personnes associées à un projet peuvent télécharger, modifier ou supprimer du code.
Aujourd’hui, dans le cadre de cet effort à long terme pour protéger l’écosystème Python, nous annonçons que chaque compte géré par un projet ou une organisation sur PyPI devra activer 2FA sur son compte d’ici la fin de 2023.
D’ici la fin de l’année, PyPI commencera à avoir accès à certaines fonctionnalités du site basées sur l’utilisation de 2FA. De plus, nous pouvons commencer à sélectionner certains utilisateurs ou projets pour une application précoce.
Ainsi, l’utilisation de l’authentification à deux facteurs accroître la protection du processus de développement et empêchera les projets d’apporter des modifications malveillantes à la suite de fuites d’informations d’identification, d’utiliser le même mot de passe sur un site compromis, de pirater le système local du développeur ou d’utiliser des méthodes d’ingénierie sociale.
L’accès par des attaquants à la suite d’un piratage de compte est l’une des menaces les plus dangereuses, car en cas d’attaque réussie, les modifications malveillantes peuvent être remplacées par d’autres produits et bibliothèques qui utilisent le package compromis comme dépendance.
En tant que méthode préférée d’authentification à deux facteurs, un schéma basé sur des jetons est déclaré périphériques matériels prenant en charge FIDO U2F et le protocole WebAuthn, qui vous permet d’atteindre un niveau de sécurité plus élevé par rapport à la génération de mots de passe à usage unique.
En plus des jetons, vous pouvez également utiliser des applications d’authentification uniques basées sur un mot de passe qui prennent en charge le protocole TOTP, telles que Authy, Google Authenticator et FreeOTP. Lors du téléchargement de packages, les développeurs sont également encouragés à passer à la méthode d’authentification “Trusted Publishers” basée sur la norme OpenID Connect (OIDC) ou à utiliser des jetons API.
De nombreux utilisateurs disposeront probablement d’une fenêtre de six mois pour appliquer la mesure d’authentification supplémentaire à leur compte, avec des plans pour rendre 2FA obligatoire d’ici la fin de cette année. Le billet de blog officiel du référentiel Python explique plus :
“D’ici à la fin de l’année, PyPI commencera à avoir accès à certaines fonctionnalités du site basées sur l’utilisation de 2FA. De plus, nous pouvons commencer à sélectionner certains utilisateurs ou projets pour une première candidature. »
Il convient de mentionner qu’à ce titre la transition des utilisateurs devrait être terminée d’ici la fin de 2023. Avant la date limite, il y aura une restriction progressive des fonctionnalités disponibles pour les développeurs qui n’ont pas activé l’authentification à deux facteurs. De plus, pour certaines catégories d’utilisateurs, l’obligation d’activer l’authentification à deux facteurs s’appliquera à l’avance.
Enfin, on peut dire que la décision de PyPI de rendre 2FA obligatoire pour tous les utilisateurs qui maintiennent un projet ou une organisation sur la plateforme est un pas dans la bonne direction pour améliorer la sécurité.
Siestes intéressé à en savoir plusvous pouvez vérifier les détails dans le lien suivant.
