AccueilActualités informatiqueLe gestionnaire de paquets NuGet fait lentement ses adieux au mot de...

Le gestionnaire de paquets NuGet fait lentement ses adieux au mot de passe

Le gestionnaire de paquets NuGet optera à l’avenir pour une authentification obligatoire à deux facteurs (2FA). L’abandon de la connexion basée sur un mot de passe aura lieu début mars, d’abord pour les nouveaux comptes, puis bientôt pour les comptes existants. Les clés API créées sans 2FA expireront également à moyen terme.

Les opérateurs réagissent ainsi au nombre croissant d’attaques contre divers gestionnaires de paquets, parmi lesquels, outre NuGet axé sur .NET, npm pour les paquets JavaScript ou PyPI pour les paquets Python. Les paquets compromis font partie des vecteurs d’attaque classiques contre la chaîne d’approvisionnement logicielle.

Sommaire

Selon le blog des développeurs de Microsoft, un grand nombre des développeurs les plus actifs des paquets NuGet utilisent déjà 2FA – 83 pour cent selon l’article. Lors de la préparation, l’équipe s’est sans doute inquiétée du fait que l’indication d’un numéro de téléphone pour activer l’authentification à deux facteurs pouvait constituer un frein.

C’est pourquoi l’opérateur mise, pour l’authentification, sur un lien étroit avec l’écosystème plus large de Microsoft. L’inscription se fait via un compte Microsoft ou, à défaut, via un compte de travail ou d’école.

L’authentification à deux facteurs sera obligatoire pour les nouveaux comptes NuGet à partir du 8 mars. Les comptes existants devraient également être progressivement convertis au 2FA d’ici la mi-mai. Les clés API ne sont pas concernées dans un premier temps, mais NuGet prévoit de laisser expirer à l’avenir toutes les clés qui ne sont pas générées avec 2FA. Les opérateurs prévoient d’informer les développeurs responsables 30 jours à l’avance.

De plus amples détails sont disponibles sur le blog des développeurs de Microsoft.

Plus d'articles