En raison de l'augmentation des cas de piratage de référentiels de grands projets et de promotion de codes malveillants via la compromission des comptes de développeurs, GitHub introduit une vérification étendue et généralisée des comptes. Par ailleurs, une authentification obligatoire à deux facteurs sera introduite pour les responsables et les administrateurs des 500 packages NPM les plus populaires au début de l'année prochaine.
Du 7 décembre 2021 au 4 janvier 2022, tous les responsables qui ont le droit de publier des packages NPM, mais qui n'utilisent pas l'authentification à deux facteurs, passeront à la vérification de compte étendue. La vérification avancée nécessite la saisie d'un code à usage unique envoyé par e-mail lors de la tentative de connexion au site Web npmjs.com ou d'effectuer une opération authentifiée dans l'utilitaire npm.
La vérification améliorée ne remplace pas, mais complète seulement, l'authentification facultative à deux facteurs précédemment disponible, qui nécessite une confirmation à l'aide de mots de passe à usage unique (TOTP). Lorsque l'authentification à deux facteurs est activée, la vérification étendue des e-mails n'est pas appliquée. À partir du 1er février 2022, le processus de passage à l'authentification obligatoire à deux facteurs débutera pour les responsables des 100 packages NPM les plus populaires avec le plus grand nombre de dépendances. Une fois la migration des cent premiers terminée, la modification sera distribuée aux 500 packages NPM les plus populaires par nombre de dépendances.
En plus du système d'authentification à deux facteurs actuellement disponible basé sur des applications de génération de mots de passe à usage unique (Authy, Google Authenticator, FreeOTP, etc.), ils prévoient d'ajouter en avril 2022 la possibilité d'utiliser des clés matérielles et des scanners biométriques, pour qui prend en charge le protocole WebAuthn, ainsi que la possibilité d'enregistrer et de gérer divers facteurs d'authentification supplémentaires.
Rappelons que, selon une étude menée en 2020, seuls 9.27 % des mainteneurs de packages utilisent l'authentification à deux facteurs pour protéger l'accès, et dans 13.37 % des cas, lors de l'enregistrement de nouveaux comptes, les développeurs ont tenté de réutiliser les mots de passe compromis qui apparaissaient dans fuites de mots de passe connues. Lors d'un examen de la sécurité des mots de passe, 12 % des comptes NPM (13 % des packages) ont été consultés en raison de l'utilisation de mots de passe prévisibles et triviaux tels que « 123456 ». Parmi les plus problématiques figuraient 4 comptes d'utilisateurs du Top 20 des packages les plus populaires, 13 comptes avec des packages téléchargés plus de 50 millions de fois par mois, 40 avec plus de 10 millions de téléchargements par mois et 282 avec plus d'un million de téléchargements par mois. Compte tenu du chargement des modules le long d'une chaîne de dépendances, la compromission de comptes non fiables pourrait affecter jusqu'à 1 % de tous les modules de NPM.
Source: opennet.ru