Reprise du message précédent :

 
On Vous Hacke !

Octave a répondu :  
 
https://xcancel.com/olesovhcom/stat [...] 86875292#m
 

Je viens de mettre la MFA OTP appli en place sur un compte ou c'était pas encore le cas, pas confiance dans sa com' minimaliste surtout vu un ou deux commentaires en dessous du lien ci dessus.

C'est quoi le rapport entre la double authentification sur un compte OVH et les données déclarées volées par le hacker ?

C'est Elon Musk qui lance des rumeurs depuis que la France le soupçonne de manipulation financière.

 
Issu du lien ci dessus :

 
Pour ce que ça vaut.
 
Mais perso je prend pas le risque.

 
  ²²²

rien ne dit que ça vient de cette fuite là.
le compte a peut être été pwned suite à un phishing qui n'a rien à voir.
 
perso, pour l'instant, wait & see !
tant que la faille (si elle existe) n'a pas été bouchée, ça sert de toutes façons pas à grand chose de changer les mots de passe, mettre du 2FA et regénérer les clef de secours qui risquent de fuiter à nouveau.

Trop tard, les pics de tes séances de soumission avec maitresse Bertha inondent déjà les réseaux.  
 
A+,

Supply chain attack sur le package python litellm
https://snyk.io/fr/articles/poisone [...] g-litellm/

Old

J'ai un travail sinon. Respectez donc ma nouvelle autorité.

Oui et personne n'a parlé de trivy je suis étonné.

Mais bordel je sais pas quoi faire en ce moment.

Comprendre le XaT?
 
Tu peux tenter un truc plus productif sinon, genre la branlette.

Tu as demandé à ton maitre de stage ?

J'adore hfr pour les réponses débiles  

@XaT : moi je ne suis pas en esn  

Moi j'ai vu passer ça chez nous

Dans les faits, comment faire pour contrôler un minimum les Packet python utilisés par les users?
On voit du pip install de partout encore plus avec l'arrivée en masse de l'IA.

tu peux avoir un repos pip en local non ? C'est un service que l'IT peut fournir.

Un miroir comme Artifactory c'est pas magique, tant que le paquet en amont est disponible ça te protège en rien.

Repo local avec chaine d'approbation.
 
La question suivante c'est, qui va auditer tous les paquets demandés ?  

 
l'idée c'est de pas autoriser l'accès au repos officiel, surveiller et contacter ceux qui essayent de contourner

C'est quoi le besoin ?

La version nazie, c'est logiciel de distribution de paquet avec demande obligatoire, blocage du téléchargement par ailleurs.

Une sorte de catalogue de logiciels autorisés internes qui ravira l'ensemble des demandeurs.

Voir n'autoriser que de bosser en local

Oui si les gens peuvent pas bosser y a beaucoup moins de risque qu'ils exécutent du code malicieux en effet.

Sans aller jusqu'à empêcher les gens de bosser, quand tu as la vision sur qui utilise quel paquet, tu peux déjà bien plus rapidement réagir quand un paquet devient connu comme corrompu, savoir qui l'utilise, communiquer et le bloquer.

 
Pas d'accès au net par les serveurs, pip interdit.
Et sur les pc utilisateurs, internet filtré.

Une IA

Artifactory de ma Cogip:

 
Bonne chance pour avoir la vision.

Je vois 38,217,517 artifacts.

y'a déjà quelques années j'avais mis en place ELK pour monitorer l'activité proxy web de la cogip (principalement de l'activité des users, plusieurs millions de hits par heure), ça marchait très bien et ça permettait de faire du troubleshooting, alerting et visualisation qui nous ont permis d'améliorer grandement la qualité de service. J'imagine que les solutions en 2026 sont encore meilleures, en tout cas ça fait longtemps qu'on sait gérer des gros volumes de données et en tirer des infos pertinentes.

Et le rapport avec la choucroute? PyPI ou miroir local change strictement rien à la question ici. Si un paquet malicieux est disponible pendant plusieurs heures tu peux littéralement rien y faire, ton cache va probablement même ralentir la propagation des mécanismes de quarantaine ou de suppression par rapport à la source en fait.

Avertir les gens infectés après coup c'est bien gentil mais en l'occurrence pip va le faire plus vite que toi.

ah, je ne savais pas. Ça marche comment ?

https://blog.pypi.org/posts/2025-08 [...] s-markers/

c'est intéressant, mais ça ne permet pas de déterminer qui a installé la version pourrie du paquet avant qu'elle n'ait été marquée comme compromise, si je comprends bien ?

Non, mais une fois que le mal est fait, la réponse doit de toute manière être multi-factorielle.
 
Là, à petite échelle, sur une bibliothèque assez niche qui est restée quelques heures en ligne, aller voir les logs d'accès pourquoi pas.
Mais en théorie tes devs devraient assez vite y prêter attention. Ta build foire parce que pip/uv/etc. te dit qu'un dépôt est en quarantaine, tu vas voir ce qu'il se passe...
 
En revanche pour une faille du genre log4shell qui concerne quasiment toutes les versions sur une décennie d'une bibliothèque à l'usage très répandu, tu vas faire quoi? Pouvoir scanner tout le code hébergé (sur git ou autre) me semble plus pertinent pour pouvoir contacter les équipes concernées de manière efficace. Et au final rien ne va vraiment remplacer un anti-virus et une rotation des tokens, mots de passe etc.

Dans certaines cogips défense c'est le cas.

Mais y'a des gardes fous possibles sur artifactory, on peut arriver à un compromis pas si mal.

Le process c'est générer un SBOM (single bill of materials) a chaque build pour avoir la liste complète des librairies et hash utilisés,  le stocker et pouvoir l'interroger a chaque découverte de faille pour savoir quelle appli est vulnérable

Ils sont fort a l'informatique  
Très fort  

Le sécurité est au top  

Je vais être vachement avancé pour savoir qui ouvre mon appli  
Spoiler alerte... c'était moi , juste pas sur mon  ordi habituel  

C'est le même problème pour tout les répo de toute façon. Les solutions de firewall de repo c'est bien, ça limite un peu mais rien de parfait.
Bloquer par défaut tout ce qui a moins de 3/6 mois est une solution pour éviter une partie des problème mais faut avoir la veille qui ça avec pour autoriser ce qui corrige les failles de sécurité pour laisser passer en fonction de ça. Autant dire que ça demande pas mal de maturité et que chez tous mes clients il n'y en a aucun capable de le faire.

 
Et après y a la problématique de dépendance de dépendance. Une simple bibliothèque à la con peut être utilisé partout.