Suite à un engagement pris l'année dernière, GitHub commencera le 13 mars à mettre en place progressivement les exigences d'authentification à deux facteurs (2FA) pour les développeurs contribuant au code du site de dépôt de code populaire. Tous les développeurs devront s'y conformer d'ici la fin de l'année. Les petits comptes devront s'inscrire à 2FA à partir de la semaine prochaine, GitHub commençant la phase de sélection pour l'inscription, a annoncé la société le 9 mars. Les personnes choisies seront informées par e-mail et verront une bannière sur GitHub.com leur demandant de s'inscrire. Les utilisateurs auront 45 jours pour configurer 2FA sur leurs comptes.
En exigeant ce renforcement d'authentification, GitHub tente de sécuriser le développement de logiciels en améliorant la sécurité des comptes. Ceux-ci sont fréquemment ciblés pour l'ingénierie sociale et la prise de contrôle de compte, a déclaré GitHub. Les utilisateurs peuvent choisir entre des méthodes 2FA telles que TOTP (Time-based One-Time Password), SMS (Short Message Service), clés de sécurité ou GitHub Mobile. La filiale de Microsoft conseille d'utiliser des clés de sécurité et des TOTP dans la mesure du possible, le SMS n'offrant pas le même niveau de protection et n'est d'ailleurs plus recommandé par le NIST 800-63B, a précisé la société.
TOTP, SMS et bientôt Passkeys supportés
GitHub a noté que les utilisateurs peuvent avoir à la fois une application d'authentification (TOTP) et un numéro SMS. Les utilisateurs verront une invite après 28 jours leur demandant d'activer le 2FA et de confirmer leurs paramètres. L'invite aidera à éviter le verrouillage du compte en raison d'applications d'authentification mal configurées. Les utilisateurs peuvent dissocier leur adresse e-mail du compte GitHub à deux facteurs s'ils ne parviennent pas à se connecter ou à le récupérer. De plus, la technologie Passkeys, qui remplace les mots de passe, est testée en interne. GitHub pense que cette technologie combinera la facilité d'utilisation avec une authentification forte et résistante au phishing.
Commentaire