Découverte d’un voleur de mot de passe dans un package PyPI ‘keep’

5/5 - (10 votes)

Découverte d’un voleur de mot de passe dans un package PyPI ‘keep’

Le package PyPI ‘keep’ incluait par erreur un voleur de mot de passe. Les packages PyPI ‘keep‘, ‘pyanxdns‘, ‘api-res-py‘ contiennent une porte dérobée en raison de la présence d’une dépendance ‘request’ malveillante dans certaines versions. Par exemple, alors que la plupart des versions du projet ‘keep‘ utilisent les requêtes légitimes du module Python pour effectuer des requêtes HTTP, ‘keep’ v.1.2 contient ‘request’ (sans s ) qui est un logiciel malveillant.


PyPI est le dépôt tiers officiel du langage de programmation Python. Son objectif est de doter la communauté des développeurs Python d'un catalogue complet recensant tous les paquets Python libres. Il est analogue au dépôt CPAN pour Perl.

Le Python Package Index (PyPI) est un référentiel de logiciels pour le langage de programmation Python. Il vous aide à trouver et à installer des logiciels développés et partagés par la communauté Python. Les auteurs de packages utilisent PyPI pour empaqueter leur code Python et distribuer leur logiciel.


Une violation de données est le rejet intentionnel ou non sécurisé de l'information au sein d'un environnement non sécurisé. Les autres termes de ce phénomène peuvent être la divulgation de l'information, la fuite de données et également le déversement de données.

"Une violation de données est un incident de sécurité transmettant des données sensibles, protégées ou confidentielles, qui sont volées ou utilisées par une personne non autorisée à le faire. Le phishing et le scraping sont largement utilisés pour voler des informations à l'insu de l'internaute et de l'entreprise.


Python est un langage de programmation interprété, multi-paradigme et multiplateformes. Il favorise la programmation impérative structurée, fonctionnelle et orientée objet. Il est doté d'un typage dynamique fort, d'une gestion automatique de la mémoire par ramasse-miettes et d'un système de gestion d'exceptions ; il est ainsi similaire à Perl, Ruby, Scheme, Smalltalk et Tcl.

BleepingComputer a contacté les auteurs de chacun de ces packages pour comprendre si cela était dû à une simple erreur typographique, à un auto-sabotage ou au piratage des comptes du responsable. (Sources)


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. 

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation.

Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges.


Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service.

C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004.

Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Retour haut de page