On a des cas de contributeurs à PyPI ou à NPM dont les mots de passe ont été captés par des acteurs malveillants qui les ont ensuite utilisé pour publier du code malveillant au nom de ces contributeurs ?
Je me réponds tout seul : il y a uncas documenté, un attaquant a pris le contrôle du compte responsable du paquet ctx (manifestement abandonné depuis plusieurs années), en profitant du fait que le titulaire du compte avait laissé son nom de domaine expirer (permettant à l’attaquant de récupérer le nom de domaine, et partant de recevoir le mail de réinitialisation de mot de passe).
Il me semble probable que ce soit ce cas précis, survenu il y a quelque mois à peine, qui ait décidé les responsables de PyPI à forcer l’utilisation de l’authentification à deux facteurs, bien plus que l’étude de la OpenSSF qui concerne un problème complètement différent.
Mais un cas, donc. On reste loin du « on a eu beaucoup de cas qui font que ce scénario n'est plus de faible probabilité mais avéré ».
[^] # Re: Je vois pas le rapport!
Posté par gouttegd . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 7.
Je me réponds tout seul : il y a un cas documenté, un attaquant a pris le contrôle du compte responsable du paquet
ctx(manifestement abandonné depuis plusieurs années), en profitant du fait que le titulaire du compte avait laissé son nom de domaine expirer (permettant à l’attaquant de récupérer le nom de domaine, et partant de recevoir le mail de réinitialisation de mot de passe).Il me semble probable que ce soit ce cas précis, survenu il y a quelque mois à peine, qui ait décidé les responsables de PyPI à forcer l’utilisation de l’authentification à deux facteurs, bien plus que l’étude de la OpenSSF qui concerne un problème complètement différent.
Mais un cas, donc. On reste loin du « on a eu beaucoup de cas qui font que ce scénario n'est plus de faible probabilité mais avéré ».