Source: blog.pypi.org (The Python Package Index Blog). PyPI déploie une mesure de sécurité visant à contrer les attaques de chaîne d’approvisionnement dites de résurrection de domaine en invalidant les adresses e‑mail liées à des domaines arrivés en expiration.
Depuis début juin 2025, PyPI a « dé-vérifié » plus de 1 800 adresses e‑mail lorsque leurs domaines associés sont entrés en phase d’expiration. Objectif: empêcher qu’un attaquant rachète un domaine expiré, configure un serveur de messagerie, lance une demande de réinitialisation de mot de passe et prenne le contrôle d’un compte. Cette mesure renforce la posture de sécurité des comptes et ferme un vecteur d’attaque où la majorité des interactions apparaissaient légitimes.
Contexte: les comptes PyPI sont liés à des adresses e‑mail, elles‑mêmes liées à des noms de domaine susceptibles d’expirer. L’adresse e‑mail initialement vérifiée est un indicateur fort de propriété du compte. Associée à une authentification à deux facteurs (2FA), elle contribue à la sécurité. PyPI rappelle que les comptes ayant eu une activité après le 1er janvier 2024 ont la 2FA activée; un attaquant aurait alors besoin du second facteur ou d’un processus complet de récupération de compte. Pour les comptes plus anciens (avant l’exigence 2FA), l’expiration d’un domaine pouvait mener à une prise de contrôle, ce que ce changement cherche à prévenir et à limiter.
Ce type d’attaque n’est pas théorique: au moins un projet PyPI a été touché en 2022, ainsi que d’autres écosystèmes de paquets. TL;DR: si un domaine expire, les e‑mails qui y sont liés ne doivent plus être considérés comme vérifiés.
TTPs décrits:
- Résurrection de domaine pour usurpation de messagerie
- Réinitialisation de mot de passe via contrôle d’un domaine expiré
- Prise de contrôle de compte liée à la vérification e‑mail initiale
IOCs:
- Aucun indicateur spécifique partagé dans cette annonce
Type d’article: mise à jour de produit visant à renforcer la sécurité des comptes PyPI contre les attaques par résurrection de domaine.
🔗 Source originale : https://blog.pypi.org/posts/2025-08-18-preventing-domain-resurrections/