GitHub a annoncé aujourd’hui que tous les utilisateurs qui contribuent au code sur sa plate-forme (environ 83 millions de développeurs au total) devront activer l’authentification à deux facteurs (2FA) sur leurs comptes d’ici la fin de 2023.
Les contributeurs actifs qui devront activer 2FA incluent, mais sans s’y limiter, les utilisateurs de GitHub qui valident du code, utilisent des actions, ouvrent ou fusionnent des demandes d’extraction ou publient des packages.
Les développeurs peuvent utiliser une ou plusieurs options 2FA, notamment des clés de sécurité physiques, des clés de sécurité virtuelles intégrées à des appareils tels que des téléphones et des ordinateurs portables, ou des applications d’authentification par mot de passe à usage unique (TOTP).
Même si la 2FA par SMS est également une option (Dans certains pays), GitHub exhorte à passer aux clés de sécurité ou aux TOTP, car les pirates peuvent contourner ou voler les jetons d’authentification SMS 2FA.
« Les propriétaires d’organisations et d’entreprises GitHub.com peuvent également exiger 2FA pour les membres de leurs organisations et entreprises », a déclaré Mike Hanley, directeur de la sécurité. mentionné.
« Notez que les membres et propriétaires de l’organisation et de l’entreprise qui n’utilisent pas 2FA seront supprimés de l’organisation ou de l’entreprise lorsque ces paramètres seront activés. »
Il s’agit de la dernière étape de GitHub pour sécuriser davantage la chaîne d’approvisionnement logicielle contre les attaques en s’éloignant de l’authentification de base basée sur un mot de passe.
La plate-forme d’hébergement de code a précédemment annoncé qu’elle nécessiterait vérification de l’appareil par e-mail et la dépréciation des mots de passe de compte pour authentifier les opérations Git.
GitHub aussi authentification par mot de passe désactivée via l’API REST en novembre 2020 et prise en charge supplémentaire de la sécurisation des opérations SSH Git à l’aide des clés de sécurité FIDO2 en mai 2021.
GitHub a également amélioré la sécurité des comptes au fil des ans en ajoutant authentification à deux facteurs, alertes de connexion, bloquer l’utilisation de mots de passe compromiset Prise en charge de l’authentification Web.
Pourquoi 2FA ?
L’activation de l’authentification à deux facteurs sur les comptes GitHub augmente la résilience contre les tentatives de prise de contrôle en bloquant les tentatives d’utilisation d’informations d’identification volées ou de mots de passe réutilisés dans les attaques de piratage.
En tant que directeur de la sécurité des identités de Microsoft, Alex Weinert expliqué il y a quelques années, « votre mot de passe n’a pas d’importance, mais MFA si ! D’après nos études, votre compte est plus de 99,9 % moins susceptible d’être compromis si vous utilisez MFA. »
Il a également déclaré que « l’utilisation de quoi que ce soit au-delà du mot de passe augmente considérablement les coûts pour les attaquants, c’est pourquoi le taux de compromission des comptes utilisant n’importe quel type de MFA est inférieur à 0,1 % de la population générale ».
Google aussi auparavant révélé que « le simple fait d’ajouter un numéro de téléphone de récupération à votre compte Google peut bloquer jusqu’à 100 % des robots automatisés, 99 % des attaques de phishing en masse et 66 % des attaques ciblées », avec « aucun utilisateur qui utilise exclusivement des clés de sécurité n’a été victime d’attaques ciblées ». Hameçonnage. »
Hanley a ajouté aujourd’hui que, bien que 2FA ait déjà prouvé qu’il s’agissait d’un moyen simple de protéger les comptes contre le piratage, « seulement environ 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2FA ».
GitHub fournit des informations détaillées sur comment configurer 2FA pour votre compte GitHub, récupérer des comptes lors de la perte des informations d’identification 2FA, et désactiver 2FA pour les comptes personnels.