đŁ Un bon vieux phishing, Ă la sauce DevSecFail
On pensait que le phishing, c’Ă©tait pour Mamie et son compte Ameli ? Avec Pypi, Que nenni. En 2025, les dĂ©veloppeurs Python sont devenus des cibles privilĂ©giĂ©es. Lâalerte vient cette fois-ci directement de la Python Software Foundation (PSF), qui signale une campagne active de phishing visant Ă usurper les identifiants des dĂ©veloppeurs via un faux site PyPI. Oui, un clone presque parfait du sacro-saint pypi.org, mais hĂ©bergĂ© sur un domaine malicieux. Et lĂ , les consĂ©quences vont bien au-delĂ dâun simple mot de passe oubliĂ©âŠ
đ”ïžââïž Le scĂ©nario du crime
Tout commence par un email. Propre. Convaincant. Signé, soi-disant, par la PSF, avec un objet du style :
« Your PyPI account requires verification due to security issues. »
Flippant, non ? Lâobjectif est clair : vous faire cliquer sur un lien qui redirige vers un faux portail PyPI, superbement maquillĂ© pour ressembler Ă lâoriginal. Et Ă©videmment, dĂšs que vous entrez vos identifiants⊠bingo, les hackers les rĂ©cupĂšrent.
Le site frauduleux utilise des domaines comme pypi-validation[.]org, secure-pypi[.]io, ou autres joyeusetĂ©s que personne ne va vĂ©rifier quand le stress de perdre son compte monte. Une fois vos identifiants dans la poche, les attaquants peuvent publier des packages malveillants sous votre nom, compromettre des projets open source, voire injecter du code dans les chaĂźnes CI/CD dâautres dĂ©veloppeurs.
đ„ Supply chain, le retour de la vengeance
Ce nâest pas un cas isolĂ© : PyPI est rĂ©guliĂšrement la cible dâattaques de type supply chain, comme lâont montrĂ© les infections massives de packages en 2022 et 2023. Mais ici, on monte dâun cran : au lieu dâinjecter directement du code malveillant, on vole les comptes de mainteneurs lĂ©gitimes pour publier des mises Ă jour apparemment innocentes⊠mais contenant des scripts dâexfiltration, des backdoors, ou des crypto-miners. Miam.
Et devine quoi ? Les CI automatisĂ©es qui dĂ©ploient automatiquement les nouvelles versions nây voient que du feu. Un pipeline trop confiant, et câest toute la prod qui part en fumĂ©e.
Voir nos précédents articles :
đ§Ș PyPI de nouveau ciblĂ© : phishing, faux site et piratage de packages⊠le combo gagnant de lâĂ©tĂ©
đ§Ș ChaĂźne de confiance en ruine : GitHub, PyPI et la prolifĂ©ration des malwares open source
đŁ Un bon vieux phishing, Ă la sauce DevSecFail
On pensait que le phishing, c’Ă©tait pour Mamie et son compte Ameli ? Que nenni. En 2025, les dĂ©veloppeurs Python sont devenus des cibles privilĂ©giĂ©es. Lâalerte vient cette fois-ci directement de la Python Software Foundation (PSF), qui signale une campagne active de phishing visant Ă usurper les identifiants des dĂ©veloppeurs via un faux site PyPI. Oui, un clone presque parfait du sacro-saint pypi.org, mais hĂ©bergĂ© sur un domaine malicieux. Et lĂ , les consĂ©quences vont bien au-delĂ dâun simple mot de passe oubliĂ©âŠ
đ”ïžââïž Le scĂ©nario du crime
Tout commence par un email. Propre. Convaincant. Signé, soi-disant, par la PSF, avec un objet du style :
« Your PyPI account requires verification due to security issues. »
Flippant, non ? Lâobjectif est clair : vous faire cliquer sur un lien qui redirige vers un faux portail PyPI, superbement maquillĂ© pour ressembler Ă lâoriginal. Et Ă©videmment, dĂšs que vous entrez vos identifiants⊠bingo, les hackers les rĂ©cupĂšrent.
Le site frauduleux utilise des domaines comme pypi-validation[.]org, secure-pypi[.]io, ou autres joyeusetĂ©s que personne ne va vĂ©rifier quand le stress de perdre son compte monte. Une fois vos identifiants dans la poche, les attaquants peuvent publier des packages malveillants sous votre nom, compromettre des projets open source, voire injecter du code dans les chaĂźnes CI/CD dâautres dĂ©veloppeurs.
đ„ Supply chain, le retour de la vengeance
Ce nâest pas un cas isolĂ© : PyPI est rĂ©guliĂšrement la cible dâattaques de type supply chain, comme lâont montrĂ© les infections massives de packages en 2022 et 2023. Mais ici, on monte dâun cran : au lieu dâinjecter directement du code malveillant, on vole les comptes de mainteneurs lĂ©gitimes pour publier des mises Ă jour apparemment innocentes⊠mais contenant des scripts dâexfiltration, des backdoors, ou des crypto-miners. Miam.
Et devine quoi ? Les CI automatisĂ©es qui dĂ©ploient automatiquement les nouvelles versions nây voient que du feu. Un pipeline trop confiant, et câest toute la prod qui part en fumĂ©e.
đ Recommandations officielles (et de bon sens)
La Python Software Foundation recommande plusieurs bonnes pratiques â qui, soyons honnĂȘtes, devraient dĂ©jĂ ĂȘtre en place depuis des annĂ©es :
- Activer le 2FAÂ sur PyPI (obligatoire depuis juillet 2023 pour les mainteneurs).
- Utiliser des clés API, pas vos identifiants bruts.
- VĂ©rifier lâURL avant de vous connecter (ça semble Ă©vident, jusquâĂ ce quâon vous pousse Ă agir dans lâurgence).
- Ne jamais cliquer sur un lien dans un email PyPI sans vérification.
- Et tant quâon y est : changez vos mots de passe, oui, mĂȘme si vous utilisez « Password1234! » depuis 2018.
đĄïž Conseils pour dĂ©veloppeurs pas encore piratĂ©s
Pour celles et ceux qui publient sur PyPI â ou qui installent rĂ©guliĂšrement des packages tiers â voici quelques rĂ©flexes de survie numĂ©rique :
- Audit de dĂ©pendances : UtilisezÂ
pip-audit,Âsafety ouÂbandit pour analyser vos packages. - Lockfiles impĂ©ratifs : GĂšle tes versions. Ne dĂ©ploie jamaisÂ
flask>=2.0.0 sans savoir ce que tu fais. - Surveille tes packages : Des outils comme PyUp, deps.dev ou mĂȘme GitHub Dependabot peuvent t’alerter en cas de modifications suspectes.
- CI sĂ©curisĂ©e : Si ton pipeline build automatiquement sur chaque commit, ajoute des contrĂŽles. Oui, mĂȘme si câest « chiant ».
đ Impact potentiel : tout un Ă©cosystĂšme Ă risque
Si ces attaques visent en apparence des individus, lâimpact est systĂ©mique. Un package compromis comme requests, flask ou numpy pourrait potentiellement infecter des millions de projets downstream. On parle ici dâune propagation silencieuse, difficile Ă dĂ©tecter, et dĂ©vastatrice Ă long terme.
đ§ Ce quâon doit retenir
| 𧩠ĂvĂ©nement | Phishing ciblĂ© contre des dĂ©veloppeurs Python via un faux site PyPI |
|---|---|
| đŻ Objectif | Vol dâidentifiants â prise de contrĂŽle des comptes dĂ©veloppeurs |
| đŁ Risque | Infection de packages officiels, compromission de CI/CD, supply chain |
| â Mesures | 2FA, audit des dĂ©pendances, vĂ©rification des URLs, rotation des clĂ©s |
| â Alerte | Toute action urgente venant par mail doit ĂȘtre vĂ©rifiĂ©e Ă froid |
đ Et aprĂšs, on fait quoi ?
PyPI nâest pas le seul touchĂ©. npm, RubyGems, Docker Hub⊠tous les Ă©cosystĂšmes sont vulnĂ©rables. Ce type dâattaque ne va pas disparaĂźtre â il va se professionnaliser, devenir plus ciblĂ©, plus subtil. LâĂ©poque des « scripts kiddies » est rĂ©volue : bienvenue dans le monde du phishing-as-a-service (PhaaS), avec hĂ©bergement, design UX et redirections HTTPS.
đ§ MoralitĂ© : si ton package awesome-cli a 50 000 installs/mois, tâes une cible. Oui, toi. MĂȘme si tu dĂ©veloppes ça sur ton temps libre depuis 2017.
đ Recommandations officielles (et de bon sens)
La Python Software Foundation recommande plusieurs bonnes pratiques â qui, soyons honnĂȘtes, devraient dĂ©jĂ ĂȘtre en place depuis des annĂ©es :
- Activer le 2FAÂ sur PyPI (obligatoire depuis juillet 2023 pour les mainteneurs).
- Utiliser des clés API, pas vos identifiants bruts.
- VĂ©rifier lâURL avant de vous connecter (ça semble Ă©vident, jusquâĂ ce quâon vous pousse Ă agir dans lâurgence).
- Ne jamais cliquer sur un lien dans un email PyPI sans vérification.
- Et tant quâon y est : changez vos mots de passe, oui, mĂȘme si vous utilisez « Password1234! » depuis 2018.
đĄïž Conseils pour dĂ©veloppeurs pas encore piratĂ©s
Pour celles et ceux qui publient sur PyPI â ou qui installent rĂ©guliĂšrement des packages tiers â voici quelques rĂ©flexes de survie numĂ©rique :
- Audit de dĂ©pendances : UtilisezÂ
pip-audit,Âsafety ouÂbandit pour analyser vos packages. - Lockfiles impĂ©ratifs : GĂšle tes versions. Ne dĂ©ploie jamaisÂ
flask>=2.0.0 sans savoir ce que tu fais. - Surveille tes packages : Des outils comme PyUp, deps.dev ou mĂȘme GitHub Dependabot peuvent t’alerter en cas de modifications suspectes.
- CI sĂ©curisĂ©e : Si ton pipeline build automatiquement sur chaque commit, ajoute des contrĂŽles. Oui, mĂȘme si câest « chiant ».
đ Impact potentiel : tout un Ă©cosystĂšme Ă risque
Si ces attaques visent en apparence des individus, lâimpact est systĂ©mique. Un package compromis comme requests, flask ou numpy pourrait potentiellement infecter des millions de projets downstream. On parle ici dâune propagation silencieuse, difficile Ă dĂ©tecter, et dĂ©vastatrice Ă long terme.
đ§ Ce quâon doit retenir
| 𧩠ĂvĂ©nement | Phishing ciblĂ© contre des dĂ©veloppeurs Python via un faux site PyPI |
|---|---|
| đŻ Objectif | Vol dâidentifiants â prise de contrĂŽle des comptes dĂ©veloppeurs |
| đŁ Risque | Infection de packages officiels, compromission de CI/CD, supply chain |
| â Mesures | 2FA, audit des dĂ©pendances, vĂ©rification des URLs, rotation des clĂ©s |
| â Alerte | Toute action urgente venant par mail doit ĂȘtre vĂ©rifiĂ©e Ă froid |
đ Et aprĂšs, on fait quoi ?
PyPI nâest pas le seul touchĂ©. npm, RubyGems, Docker Hub⊠tous les Ă©cosystĂšmes sont vulnĂ©rables. Ce type dâattaque ne va pas disparaĂźtre â il va se professionnaliser, devenir plus ciblĂ©, plus subtil. LâĂ©poque des « scripts kiddies » est rĂ©volue : bienvenue dans le monde du phishing-as-a-service (PhaaS), avec hĂ©bergement, design UX et redirections HTTPS.
đ§ MoralitĂ© : si ton package
awesome-clia 50 000 installs/mois, tâes une cible. Oui, toi. MĂȘme si tu dĂ©veloppes ça sur ton temps libre depuis 2017.
