Le référentiel PyPI distribuera 4 000 clés de sécurité aux mainteneurs de « projets critiques » dans le lecteur 2FA

Le Python Package Index (PyPI) déploie l’authentification à deux facteurs (2FA) pour les « projets critiques » sous la forme de clés de sécurité physiques.

Conscient de la menace croissante qui pèse sur les chaînes d’approvisionnement logicielles, le référentiel distribue 4 000 clés de sécurité Titan aux responsables qualifiés, qui peuvent échanger un code promotionnel contre deux clés gratuites, USB-C ou USB-A.

L’équipe Google Open Source Security, un sponsor de la Python Software Foundation qui gère PyPI, a fourni les clés.

Tous les mainteneurs de projets critiques devront se connecter à leurs comptes en utilisant les clés en plus d’un mot de passe, une exigence qui « entrera en vigueur dans les mois à venir », selon un annonce sur le site de PyPI.

Les 1 % les plus riches

Les projets sont considérés comme « critiques » s’ils figurent parmi les 1 % des meilleurs projets PyPI en termes de nombre de téléchargements au cours des six mois précédents.

Cela signifie qu’environ 3 500 des quelque 350 000 projets PyPI seront éligibles.

Et « une fois que le projet a été désigné comme critique, il conserve cette désignation indéfiniment », a déclaré la Python Software Foundation.

Les clés matérielles Titan ne sont approuvées que pour la vente et ne peuvent donc être distribuées qu’en Autriche, en Belgique, au Canada, en France, en Allemagne, en Italie, au Japon, en Espagne, en Suisse, au Royaume-Uni et aux États-Unis.

Les mainteneurs de projets critiques dans des régions non éligibles peuvent soit acheter indépendamment une clé de sécurité FIDO U2F alternative telle que Yubikey ou Thetis, soit activer 2FA via une application TOTP.

Cependant, PyPI a averti que « l’utilisation de clés de sécurité via WebAuthn est généralement considérée comme plus sûre que l’utilisation d’applications d’authentification basées sur TOTP pour 2FA ».

Cette décision fait suite à un engagement similaire pris par le référentiel de code RubyGems le mois dernier, qui s’appliquait aux mainteneurs de gemmes avec plus de 165 millions de téléchargements.

GitHub aussi annoncé le mois dernier que 2FA serait rendu obligatoire pour tous les contributeurs de code d’ici la fin de l’année prochaine, tandis que NPM rendait initialement 2FA obligatoire pour ses 100 principaux mainteneurs de packages Node.js, avec un déploiement plus large déjà en cours.