{"id":250543,"date":"2022-07-11T04:29:14","date_gmt":"2022-07-11T06:29:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-referentiel-pypi-rend-la-securite-2fa-obligatoire-pour-les-projets-python-critiques\/"},"modified":"2022-07-11T04:29:15","modified_gmt":"2022-07-11T06:29:15","slug":"le-referentiel-pypi-rend-la-securite-2fa-obligatoire-pour-les-projets-python-critiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-referentiel-pypi-rend-la-securite-2fa-obligatoire-pour-les-projets-python-critiques\/","title":{"rendered":"Le r\u00e9f\u00e9rentiel PyPI rend la s\u00e9curit\u00e9 2FA obligatoire pour les projets Python critiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les responsables du r\u00e9f\u00e9rentiel de logiciels tiers officiel pour Python ont commenc\u00e9 \u00e0 imposer une nouvelle condition d&#8217;authentification \u00e0 deux facteurs (2FA) pour les projets jug\u00e9s &#8220;critiques&#8221;.<\/p>\n<p>&#8220;Nous avons commenc\u00e9 \u00e0 d\u00e9ployer une exigence 2FA\u00a0: bient\u00f4t, les responsables de projets critiques devront activer 2FA pour les publier, les mettre \u00e0 jour ou les modifier&#8221;, Python Package Index (PyPI) <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/pypi\/status\/1545455297388584960\" target=\"_blank\">a dit<\/a> dans un tweet la semaine derni\u00e8re.<\/p>\n<p>&#8220;Tout mainteneur d&#8217;un projet critique (\u00e0 la fois les &#8216;mainteneurs&#8217; et les &#8216;propri\u00e9taires&#8217;) est inclus dans l&#8217;exigence 2FA&#8221;, il <a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/security-key-giveaway\/\" target=\"_blank\">ajout\u00e9e<\/a>.<\/p>\n<p>De plus, les d\u00e9veloppeurs de projets critiques qui n&#8217;ont pas encore activ\u00e9 2FA sur PyPi se voient offrir des cl\u00e9s de s\u00e9curit\u00e9 mat\u00e9rielles gratuites par l&#8217;\u00e9quipe de s\u00e9curit\u00e9 Google Open Source.<\/p>\n<p>PyPI, qui est g\u00e9r\u00e9 par la Python Software Foundation, h\u00e9berge plus de 350 000 projets, dont plus de <a rel=\"nofollow noopener\" href=\"https:\/\/p.datadoghq.com\/sb\/7dc8b3250-389f47d638b967dbb8f7edfd4c46acb1?from_ts=1657423323167&amp;to_ts=1657509723167&amp;live=true\" target=\"_blank\">3 500 projets<\/a> sont dits \u00eatre \u00e9tiquet\u00e9s avec une d\u00e9signation &#8220;critique&#8221;.<\/p>\n<p>Selon les mainteneurs du r\u00e9f\u00e9rentiel, tout projet repr\u00e9sentant le 1\u00a0% des t\u00e9l\u00e9chargements les plus importants au cours des 6\u00a0mois pr\u00e9c\u00e9dents est d\u00e9sign\u00e9 comme critique, la d\u00e9termination \u00e9tant recalcul\u00e9e quotidiennement.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Projets Python critiques\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657520954_254_Le-referentiel-PyPI-rend-la-securite-2FA-obligatoire-pour-les.jpg\" title=\"Projets Python critiques\" \/><\/div>\n<p>Mais une fois qu&#8217;un projet a \u00e9t\u00e9 class\u00e9 comme critique, on s&#8217;attend \u00e0 ce qu&#8217;il conserve cette d\u00e9signation ind\u00e9finiment, m\u00eame s&#8217;il sort de la liste des 1 % de t\u00e9l\u00e9chargements les plus importants.<\/p>\n<p>Cette d\u00e9cision, qui est consid\u00e9r\u00e9e comme une tentative d&#8217;am\u00e9liorer la s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement de l&#8217;\u00e9cosyst\u00e8me Python, fait suite \u00e0 un certain nombre d&#8217;incidents de s\u00e9curit\u00e9 ciblant les r\u00e9f\u00e9rentiels open source ces derniers mois.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>L&#8217;ann\u00e9e derni\u00e8re, des comptes de d\u00e9veloppeurs NPM ont \u00e9t\u00e9 pirat\u00e9s par de mauvais acteurs pour ins\u00e9rer du code malveillant dans les packages populaires &#8220;ua-parser-js&#8221;, https:\/\/thehackernews.com\/2022\/07\/&#8221;coa&#8221; et &#8220;rc&#8221;, incitant GitHub \u00e0 renforcer la s\u00e9curit\u00e9 du registre NPM en exigeant 2FA pour les mainteneurs et les administrateurs \u00e0 partir du premier trimestre 2022.<\/p>\n<p>&#8220;S&#8217;assurer que les projets les plus largement utilis\u00e9s disposent de ces protections contre la prise de contr\u00f4le de compte est une \u00e9tape vers nos efforts plus larges pour am\u00e9liorer la s\u00e9curit\u00e9 g\u00e9n\u00e9rale de l&#8217;\u00e9cosyst\u00e8me Python pour tous les utilisateurs de PyPI&#8221;, a d\u00e9clar\u00e9 PyPi.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/pypi-repository-makes-2af-security.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les responsables du r\u00e9f\u00e9rentiel de logiciels tiers officiel pour Python ont commenc\u00e9 \u00e0 imposer une nouvelle condition d&#8217;authentification \u00e0 deux facteurs (2FA) pour les projets jug\u00e9s &#8220;critiques&#8221;. &#8220;Nous avons commenc\u00e9 \u00e0 d\u00e9ployer une exigence 2FA\u00a0: bient\u00f4t, les responsables de projets critiques devront activer 2FA pour les publier, les mettre \u00e0 jour ou les modifier&#8221;, Python [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":250544,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[88323,4168,5729,4158,4165,4161,4157,4159,4171,4170,65,4167,4160,4163,4162,7630,185,1174,69497,39385,7308,1486,1835,4172,4169,4166,4164],"class_list":["post-250543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-2fa","tag-comment-pirater","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-obligatoire","tag-pour","tag-projets","tag-pypi","tag-python","tag-referentiel","tag-rend","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/250543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=250543"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/250543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/250544"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=250543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=250543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=250543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}