Checklist de sécurisation npm

Issue de la présentation Du phishing AiTM aux vers autonomes : plongée dans les attaques npm de 2025 — JSSI 2026.
Rendez-vous sur npmjs.com et authentifiez-vous pour commencer.

0 / 0 complétés

Minimisez l'utilisation des tokens à longue durée de vie

Section Account > Access tokens

Désactiver les tokens non utilisés
Effectuer un inventaire des tokens utilisés

Pour chaque token actif :

Token CI ? Migrer vers le Trusted Publishing puis désactiver le token
Token développeur ? Utiliser npm login à la place puis désactiver le token
Réduire les permissions du token au strict nécessaire
IP de sortie fixe ? Recréer le token avec une restriction IP

Sécurisez votre compte npm

Section Account > Two-Factor Authentication

Vérifier que la 2FA est activée
Retirer les méthodes 2FA vulnérables au phishing (TOTP)
Ajouter une méthode 2FA résistante au phishing (clé physique ou passkey)
Sauvegarder les codes de récupération dans un endroit sécurisé

Section Account > Linked Accounts & Recovery Option

Lier votre compte GitHub pour la récupération de compte

Si vous avez une organisation npm

Page d'administration de l'organisation

Vérifier que tous les membres ont la 2FA activée
Activer le 2FA obligatoire (Enable 2FA enforcement)

Si vous publiez des packages npm

Pour chaque paquet :

Déterminer comment le paquet est publié sur npm
Utiliser le Trusted Publishing plutôt que des tokens
Sinon, restreindre le token en écriture à ce seul paquet

Après passage au Trusted Publishing :

Dans Settings > Publishing access, sélectionner Require 2FA and disallow tokens

JSSI 2026 — Slides de la présentation