GitHub commencera à demander aux développeurs actifs d’activer l’authentification à deux facteurs (2FA) sur leurs comptes à partir de la semaine prochaine, le 13 mars.
Une fois étendue à l’ensemble de la base d’utilisateurs de l’entreprise, l’exigence d’inscription 2FA aidera à sécuriser les comptes de plus de 100 millions d’utilisateurs.
Le déploiement progressif commencera la semaine prochaine avec GitHub s’adressant à de plus petits groupes d’administrateurs et de développeurs par e-mail et s’accélérera à l’approche de la fin de l’année pour garantir que l’intégration est transparente et que les utilisateurs ont le temps de résoudre tous les problèmes.
« GitHub a conçu un processus de déploiement destiné à la fois à minimiser les interruptions imprévues et la perte de productivité pour les utilisateurs et à empêcher les verrouillages de compte », ont déclaré Hirsch Singhal, chef de produit du personnel, et Laura Paine, directrice du marketing produit.
« Des groupes d’utilisateurs seront invités à activer 2FA au fil du temps, chaque groupe étant sélectionné en fonction des actions qu’ils ont entreprises ou du code auquel ils ont contribué. »
Si votre compte est sélectionné pour l’inscription, vous recevrez un e-mail et verrez une bannière sur GitHub.com vous demandant de vous inscrire au programme d’authentification à deux facteurs (2FA).
Ensuite, vous aurez 45 jours pour configurer 2FA sur votre compte, pendant lesquels vous pourrez continuer à utiliser votre compte GitHub comme d’habitude, à l’exception de rappels occasionnels.
GitHub vous tiendra au courant de votre date limite d’activation, et une fois qu’elle est passée, vous serez invité à activer 2FA la première fois que vous accédez à GitHub.com et vous serez bloqué pour accéder à certaines fonctionnalités jusqu’à ce que 2FA soit activé.
Cela fait suite à deux annonces précédentes de mai et décembre selon lesquelles tous les développeurs contribuant au code sur la plate-forme devront activer 2FA d’ici la fin de 2023.
GitHub fournit des instructions détaillées sur la configuration de 2FA pour votre compte et la récupération de comptes en cas de perte d’informations d’identification 2FA.
Les développeurs peuvent utiliser une ou plusieurs options 2FA, y compris les clés de sécurité physiques, les clés de sécurité virtuelles intégrées aux appareils mobiles tels que les smartphones et les ordinateurs portables, les applications d’authentification de mot de passe à usage unique (TOTP) ou l’application GitHub Mobile (après avoir configuré TOTP ou SMS 2FA).
Bien que la 2FA basée sur les SMS soit également une option (dans certains pays), GitHub exhorte les utilisateurs à passer aux clés de sécurité ou aux applications TOTP, car les pirates peuvent contourner SMS 2FA ou voler des jetons d’authentification SMS 2FA pour détourner les comptes des développeurs.
Sécuriser la chaîne d’approvisionnement des logiciels
L’activation de 2FA sur les comptes GitHub augmente la résilience contre la prise de contrôle de compte en bloquant les tentatives d’utilisation de mots de passe réutilisés ou d’informations d’identification volées lors d’attaques de piratage.
Il s’agit de la dernière initiative de la société en matière de sécurisation de la chaîne d’approvisionnement logicielle en s’éloignant de l’authentification de base basée sur un mot de passe.
Auparavant, la plate-forme d’hébergement de code implémentait la vérification des appareils par e-mail et supprimait progressivement les mots de passe de compte pour l’authentification des opérations Git.
De plus, GitHub a désactivé l’authentification par mot de passe via l’API REST en novembre 2020 et a introduit la prise en charge des clés de sécurité FIDO2 pour sécuriser les opérations SSH Git en mai 2021.
Au fil des ans, GitHub a amélioré ses mesures de sécurité de compte en incorporant une authentification à deux facteurs, des alertes de connexion, en bloquant l’utilisation de mots de passe compromis et en fournissant une prise en charge de WebAuthn.