Sécurité : GitHub va bientôt rendre obligatoire la double authentification

Publié le 17 décembre 2022 à 13h00

GiThub

La plateforme GitHub va bientôt renforcer sa sécurité en imposant à ses utilisateurs l’authentification à deux facteurs.

Quelques semaines après une fuite d’identifiants sur GitHub, la plateforme vient d’annoncer qu’elle allait serrer la vis en matière de sécurité.

GitHub : la double authentification bientôt rendue obligatoire

Aujourd’hui, la plateforme GitHub compte près de 94 millions d’utilisateurs. Si vous n’aviez encore jamais entendu parler de ce nom auparavant, sachez qu’il s’agit d’un service d’hébergement open source qui permet notamment aux développeurs de gérer et de partager le code source de leur projet. En 2018, soit une décennie après son lancement, GitHub est devenu la propriété de Microsoft.

Prochainement, le processus de connexion sur GitHub se verra davantage renforcé. En effet, les utilisateurs de la plateforme devront obligatoirement saisir un code à usage unique à partir de l’année prochaine. C’est plus précisément dès le mois de mars 2023 que la double authentification entamera son déploiement. Cette initiative a bien évidemment pour objectif de faire de GitHub un outil plus sûr et où les utilisateurs pourront se sentir plus confiants quant à la qualité du code qu'ils téléchargent, comme cela nous est rapporté par le site BleepingComputer.

2FA sur GitHub : conditions et déploiement

L’activation de cette fonctionnalité nécessitera au préalable une manipulation de votre part. Vous recevrez tout d’abord un e-mail et disposerez ensuite d’un délai de 45 jours pour activer l’authentification à deux facteurs. Une fois ce délai passé, les utilisateurs recevront un ultime et dernier rappel (ils disposeront alors d’une semaine supplémentaire) avant d’être privés de l’accès à GitHub. Vous l’aurez bien compris, l’activation de la double authentification deviendra donc bel et bien obligatoire à partir du mois de mars prochain si vous souhaitez continuer à bénéficier du service.

En ce qui concerne son déploiement, notez qu’il se fera en plusieurs temps. Celles et ceux ayant contribué aux dépôts de code les plus importants ou qui sont considérés comme critiques, les administrateurs d’entreprises et d’organisations, ou encore les développeurs ayant publié des applications ou des paquets, seront les premiers à pouvoir ou plutôt à devoir activer la double authentification sur GitHub.

Quoi qu’il en soit, l'entreprise Microsoft semble bien décidée à renforcer la sécurité de GitHub. L’ensemble des comptes devront donc activer l’authentification à deux facteurs dès l’année prochaine pour un espace de travail toujours plus sécurisé.

Source : BleepingComputer

Par Mérouan Goumiri

Passionné d’écriture depuis de nombreuses années, j’exerce chez Clubic comme rédacteur freelance depuis bientôt trois ans. Féru de nouvelles technologies, j’ai longtemps été bercé par le jeu vidéo. D’ailleurs, vous m’avez peut-être déjà croisé sur la Toile, puisque j’ai été à l’origine d’une chaîne YouTube spécialisée dans le gaming, aujourd’hui disparue…

Articles de Mérouan Goumiri

Cybersécurité

Telecom

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

gamez

ca me saoule ces obligations.
chacun devrait pouvoir choisir sil veut ou non protéger son compte comme un coffre fort…

j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter

Squeak

Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal. Les gens qui estiment avoir besoin de sécurité supplémentaire n’ont certainement pas attendu cette obligation pour activer l’authentification à deux facteurs.

Mais c’est vrai aussi d’un coté que certains comptes n’ont pas vraiment d’importance. Entre une boîte e-mail qui est utilisée de manière professionnelle et un compte sur un forum, il est vrai que je ne vais pas passer du temps à activer l’authentification à deux facteurs, un mot de passe fort et unique suffira dans bien des cas.

Ca ne représente pas vraiment plus de manipulations au quotidien, la plupart des sites ont une option pour enregistrer l’appareil ou le navigateur comme sûr (exemple: si tu te connectes toujours à partir de ton propre téléphone ou PC, tu n’auras pas à entrer le code unique à chaque fois).

RobinPrieur

C’est une bien mauvaise idée… Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…

xeno

c’est sans intérêt, si ce n’est de finir par devoir vivre de force avec des applications qui deviennes nécessaire pour utiliser a moindre bêtise.

Surtout que cela sert strictement à rien, les véritables hacker se passe de la double authentification , a pet gêner l’utilisateur lambda …

MattS32

Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres. Et c’est pour ça qu’ils préfèrent tout protéger.

La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).
Et ta double authentification ne passe pas obligatoirement par ton téléphone.

La double authentification de GitHub, c’est du TOTP standard, donc ça marche avec toutes les applis TOTP, sur téléphone, tablette, ordinateur ou même en extension de navigateur.

gamez

Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal.

ah mais je n’ai pas dit le contraire

gamez

Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres.

En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?

La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).
Et ta double authentification ne passe pas obligatoirement par ton téléphone.

Là aussi, plus de précisions ne seraient pas de refus.
Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?

Squeak

Si le site permet d’enregistrer les informations de connexion en local (ce qui est le cas généralement), ça prendra peut être plus de temps mais une seule fois. A moins que tu n’utilises un ordinateur public à chaque fois.

Premièrement taper, son mot de passe. Ensuite, ouvrir son application d’authentification qui génère un code (ou le recevoir par SMS si on a choisi cette méthode, qui est de moins en moins recommandée) et taper ce code.

A ce moment, si le site permet de définir « se souvenir de ce navigateur », alors il créera un cookie et tu n’auras plus à taper ce code à chaque fois. Ton compte sera à la fois sécurisé (quelqu’un qui aurait ton mot de passe ne pourrait de toutes façons pas accéder) et sans trop de contraintes pour toi. Évidemment, si on a un accès physique à ton appareil ça changerait la donne.

MattS32

Ton compte peut interagir avec d’autres, déposer des commentaires, soumettre des PR…
Et si tu as des repos publics, il peut déposer dedans du code vérolé, que d’autres pourraient récupérer…

MattS32

Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.

Donc passer la double authentification ne me prend pas plus de temps que de faire un Ctrl-V.
Si éventuellement le token est pas généré par mon gestionnaire de mots de passe, ça me prend un peu plus de temps, le temps de lancer WinAuth et de taper son mot de passe à lui… Mais même comme ça, ça fait pas 30 secondes. Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…

Et ensuite, cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.