Sécurité : GitHub va bientôt rendre obligatoire la double authentification

Mérouan Goumiri
17 décembre 2022 à 13h00
30
GiThub
GiThub

La plateforme GitHub va bientôt renforcer sa sécurité en imposant à ses utilisateurs l’authentification à deux facteurs.

Quelques semaines après une fuite d’identifiants sur GitHub, la plateforme vient d’annoncer qu’elle allait serrer la vis en matière de sécurité.

GitHub : la double authentification bientôt rendue obligatoire

Aujourd’hui, la plateforme GitHub compte près de 94 millions d’utilisateurs. Si vous n’aviez encore jamais entendu parler de ce nom auparavant, sachez qu’il s’agit d’un service d’hébergement open source qui permet notamment aux développeurs de gérer et de partager le code source de leur projet. En 2018, soit une décennie après son lancement, GitHub est devenu la propriété de Microsoft.

Prochainement, le processus de connexion sur GitHub se verra davantage renforcé. En effet, les utilisateurs de la plateforme devront obligatoirement saisir un code à usage unique à partir de l’année prochaine. C’est plus précisément dès le mois de mars 2023 que la double authentification entamera son déploiement. Cette initiative a bien évidemment pour objectif de faire de GitHub un outil plus sûr et où les utilisateurs pourront se sentir plus confiants quant à la qualité du code qu'ils téléchargent, comme cela nous est rapporté par le site BleepingComputer.

2FA sur GitHub : conditions et déploiement

L’activation de cette fonctionnalité nécessitera au préalable une manipulation de votre part. Vous recevrez tout d’abord un e-mail et disposerez ensuite d’un délai de 45 jours pour activer l’authentification à deux facteurs. Une fois ce délai passé, les utilisateurs recevront un ultime et dernier rappel (ils disposeront alors d’une semaine supplémentaire) avant d’être privés de l’accès à GitHub. Vous l’aurez bien compris, l’activation de la double authentification deviendra donc bel et bien obligatoire à partir du mois de mars prochain si vous souhaitez continuer à bénéficier du service.

En ce qui concerne son déploiement, notez qu’il se fera en plusieurs temps. Celles et ceux ayant contribué aux dépôts de code les plus importants ou qui sont considérés comme critiques, les administrateurs d’entreprises et d’organisations, ou encore les développeurs ayant publié des applications ou des paquets, seront les premiers à pouvoir ou plutôt à devoir activer la double authentification sur GitHub.

Quoi qu’il en soit, l'entreprise Microsoft semble bien décidée à renforcer la sécurité de GitHub. L’ensemble des comptes devront donc activer l’authentification à deux facteurs dès l’année prochaine pour un espace de travail toujours plus sécurisé.

Source : BleepingComputer

Mérouan Goumiri

Mérouan Goumiri

Amateur de séries, de cinéma et de nouvelles technologies, c’est mon penchant pour le jeu vidéo qui a eu raison de moi. Me perdre entre Libertalia, les mers de Sea of Thieves et Kaer Morhen, telle est...

Lire d'autres articles

Amateur de séries, de cinéma et de nouvelles technologies, c’est mon penchant pour le jeu vidéo qui a eu raison de moi. Me perdre entre Libertalia, les mers de Sea of Thieves et Kaer Morhen, telle est la vie que j’ai décidé de mener entre la rédaction de deux articles.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (30)

gamez
ca me saoule ces obligations.<br /> chacun devrait pouvoir choisir sil veut ou non protéger son compte comme un coffre fort…<br /> j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter
Squeak
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal. Les gens qui estiment avoir besoin de sécurité supplémentaire n’ont certainement pas attendu cette obligation pour activer l’authentification à deux facteurs.<br /> Mais c’est vrai aussi d’un coté que certains comptes n’ont pas vraiment d’importance. Entre une boîte e-mail qui est utilisée de manière professionnelle et un compte sur un forum, il est vrai que je ne vais pas passer du temps à activer l’authentification à deux facteurs, un mot de passe fort et unique suffira dans bien des cas.<br /> Ca ne représente pas vraiment plus de manipulations au quotidien, la plupart des sites ont une option pour enregistrer l’appareil ou le navigateur comme sûr (exemple: si tu te connectes toujours à partir de ton propre téléphone ou PC, tu n’auras pas à entrer le code unique à chaque fois).
RobinPrieur
C’est une bien mauvaise idée… Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…
xeno
c’est sans intérêt, si ce n’est de finir par devoir vivre de force avec des applications qui deviennes nécessaire pour utiliser a moindre bêtise.<br /> Surtout que cela sert strictement à rien, les véritables hacker se passe de la double authentification , a pet gêner l’utilisateur lambda …
MattS32
gamez:<br /> j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter<br /> Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres. Et c’est pour ça qu’ils préfèrent tout protéger.<br /> RobinPrieur:<br /> Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…<br /> La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).<br /> Et ta double authentification ne passe pas obligatoirement par ton téléphone.<br /> La double authentification de GitHub, c’est du TOTP standard, donc ça marche avec toutes les applis TOTP, sur téléphone, tablette, ordinateur ou même en extension de navigateur.
gamez
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal.<br /> ah mais je n’ai pas dit le contraire
gamez
Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres.<br /> En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?<br /> La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).<br /> Et ta double authentification ne passe pas obligatoirement par ton téléphone.<br /> Là aussi, plus de précisions ne seraient pas de refus.<br /> Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?
Squeak
Si le site permet d’enregistrer les informations de connexion en local (ce qui est le cas généralement), ça prendra peut être plus de temps mais une seule fois. A moins que tu n’utilises un ordinateur public à chaque fois.<br /> Premièrement taper, son mot de passe. Ensuite, ouvrir son application d’authentification qui génère un code (ou le recevoir par SMS si on a choisi cette méthode, qui est de moins en moins recommandée) et taper ce code.<br /> A ce moment, si le site permet de définir « se souvenir de ce navigateur », alors il créera un cookie et tu n’auras plus à taper ce code à chaque fois. Ton compte sera à la fois sécurisé (quelqu’un qui aurait ton mot de passe ne pourrait de toutes façons pas accéder) et sans trop de contraintes pour toi. Évidemment, si on a un accès physique à ton appareil ça changerait la donne.
MattS32
gamez:<br /> En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?<br /> Ton compte peut interagir avec d’autres, déposer des commentaires, soumettre des PR…<br /> Et si tu as des repos publics, il peut déposer dedans du code vérolé, que d’autres pourraient récupérer…
MattS32
gamez:<br /> Là aussi, plus de précisions ne seraient pas de refus.<br /> Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?<br /> Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> Donc passer la double authentification ne me prend pas plus de temps que de faire un Ctrl-V.<br /> Si éventuellement le token est pas généré par mon gestionnaire de mots de passe, ça me prend un peu plus de temps, le temps de lancer WinAuth et de taper son mot de passe à lui… Mais même comme ça, ça fait pas 30 secondes. Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…<br /> Et ensuite, cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.
gamez
MattS32:<br /> cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.<br /> Dans mon cas les cookies sont automatiquement effacés à la cloture de mon navigateur, donc j’aurais à subir la double authentification à chaque fois même si c’est le même navigateur. Pour preuve twitter m’envoit systématiquement un mail à chacune de mes connexions pour me dire que je me suis connecté à un nouvel appareil…qu’est ce que c’est chiant.<br /> certains vont me dire « t’as qu’à pas les effacer, je ne vois pas le problème de garder les cookies » si du coup on rentre dans ce jeu alors on n’a plus la liberté d’utiliser notre navigateur comme on veut.
gamez
MattS32:<br /> Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…<br /> je n’ai jamais prétendu ça…
MattS32
Toi non, mais celui à qui je répondais sur le temps que ça prend, oui.
jvachez
Tout à fait, ça devrait être limité aux cas où il est possible de dépenser l’argent du propriétaire du compte.<br /> Surtout que ce genre de protection se retourne souvent contre le propriétaire. Impossible de se rappeler l’ensemble des doubles authentifications au moment de résilier un numéro de téléphone. Pour les applications de double authentification c’est encore pire, changer de téléphone ou le réinitialiser peut tout bloquer.
MattS32
jvachez:<br /> Pour les applications de double authentification c’est encore pire, changer de téléphone ou le réinitialiser peut tout bloquer.<br /> Y a un nouveau concept qui a été inventé il y a peu pour palier ce genre de souci. Ça s’appelle la sauvegarde…<br /> En outre les services qui proposent une double authentification via une application TOTP offrent quasiment toujours un moyen secondaire d’authentification…<br /> Par exemple, pour GitHub, si pour une raison ou pour une autre je ne peux pas générer de token TOTP (que je peux déjà générer de plusieurs façons différentes, avec mon gestionnaire de mot de passe installé sur trois PC, mon téléphone et ma tablette + une appli TOTP dédiée sur mon PC principal, mon téléphone et ma tablette), j’ai 7 alternatives disponibles :<br /> deux clés de sécurité physiques U2F/Fido,<br /> l’application GitHub Mobile sur mon téléphone et sur ma tablette,<br /> une liste de 20 codes à usage unique que j’ai sauvegardée sur mon PC principal et dans mon bloc notes en ligne (sans préciser bien sûr que ce sont mes codes GitHub),<br /> un code à usage unique envoyé par SMS.<br /> Peu de chances que tout ça soit en rade en même temps… Et si c’était un jour le cas, je pense que ma priorité serait pas de me connecter à mon GitHub
Squeak
Astuce très simple pour parer l’éventualité de la perte de l’application A2F : faire une capture d’écran du QR code avant de le valider et le garder en lieu sûr. De cette façon, il est possible de recréer la clé sur un autre appareil.<br /> Une clé TOTP est juste une chaîne de caractères qui est ensuite hachée avec l’heure en cours pour obtenir le code à un instant donné.
MattS32
Attention, le QR ne contient pas que la clé TOTP, il contient souvent aussi le nom du service et l’identifiant (sans le mot de passe bien sûr !).<br /> Il est préférable de sauvegarder la clé seule, qui est juste une séquence alphanumérique plus ou moins longue, qu’on peut facilement extraire du code QR.<br /> Ainsi quelqu’un qui tomberait dessus ne saura pas que ça correspond à ton compte sur un service donné.
Squeak
Je sais mais ça commence à faire beaucoup de conditions pour que quelqu’un puisse y avoir accès. Il faudrait que la personne ait un accès physique à la machine, qui peut être protégée par un mot de passe et en plus le fichier contenant le QR code en question pourrait lui-même être chiffré si on pousse le bouchon encore plus loin
jvachez
Il y a des double authentification où l’on ne peut pas même si on a stocké car il y a une date d’expiration.
MattS32
Peggy10Huitres:<br /> Vous parlez du code à 6 chiffres que l’on retrouve dans « Google Authenticator » ?<br /> Oui, c’est ça.<br /> Peggy10Huitres:<br /> Cela dit, je vois effectivement que dans Bitwarden il y’a un champ « Authenticator Key (TOTP) » ( tous vierge chez moi )<br /> Ca se configure comment ?<br /> Quand on configure un service pour la double authentification, il donne généralement un QR à scanner dans l’application de TOTP (Google Authenticator ou autre).<br /> À partir de là, plusieurs options :<br /> soit tu scannes directement le QR code avec la version mobile de Bitwarden,<br /> soit tu scannes le QR code avec une application de lecture de code QR. L’application va alors te sortir une URL du genre otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&amp;issuer=Example. Il faut alors recopier la partie en gras (elle peut être plus ou moins longue) dans Bitwarden.<br /> soit tu scannes le QR avec une application de TOTP qui permet d’afficher les clés (ce n’est pas le cas de Google Authenticator à ma connaissance, mais c’est le cas par exemple de FreeOTP et Aegis). Tu pourras alors afficher la clé et la recopier dans Bitwarden,<br /> soit le service t’affiches la clé, en plus du QR code (des fois en sélectionnant d’abord une option du genre « Saisie manuelle »), et tu peux la recopier directement dans Bitwarden.<br />
Squeak
Je n’ai jamais vu un tel scénario. Un exemple?<br /> Cela peut être le service qui définit qu’une clé doit être renouvelée à intervalles réguliers, pas le QR code qui peut être lu et réutilisé pour recréer exactement la clé. Une application d’authentification qui a scanné le code à un moment donné garde cette clé. L’application qui génère le code ne communique rien sur Internet, d’ailleurs elle fonctionne hors ligne.<br /> Là on parle bien du système TOTP, pas d’authentification qui utiliserait une autre méthode.
jvachez
C’est une application qui s’appelle FortiToken je sais pas quel est le format mais juste que ça prouve que la double authentification ça embête avant tout ceux qui ont un accès légitime.
MattS32
Peggy10Huitres:<br /> Du coup je ne peux totalement comprendre le fonctionnement …<br /> Bitwarden doit me « générer/copier dans le presse papier » le code à 6 chiffres grace à cette clef inséré dans Bitwarden ?<br /> Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> D’ou cette question : Le faite vous avec Bitwarden ?<br /> Dans le sens ou je n’ai pas envie de souscrire/payer pour rien … <br /> Merci …<br /> Oui, je le fait avec Bitwarden.<br /> Bitwarden peut soit t’afficher le token TOTP dans la « fiche » du service :<br /> totp-bitwarden393×619 14.9 KB<br /> Soit le copier dans le presse-papier sur demande à partir de la liste des services :<br /> Soit le copier automatiquement dans le presse-papier après avoir fait la saisie automatique de l’identifiant et du mot de passe. Pour ça, il faut activer une option dans Paramètres &gt; Options :<br />
Squeak
Alors oui, peut-être quelque chose qui utilise une technique propriétaire, c’est parfois le cas avec certaines solutions professionnelles (notamment celles qui utilisent plutôt une notification push pour approuver la connexion), des VPN etc.<br /> Sinon pour « embêter ceux qui accès légitime », je dis souvent que plus de sécurité implique parfois des contraintes. Et ces contraintes sont parfois minimes comparé au service rendu : perdre 3 secondes de plus pour entrer un code ou passer des semaines à se remettre d’une cyberattaque, pour une entreprise par exemple le choix est fait. Après, pour l’utilisateur banal, c’est sûr que ça peut faire chouiner un peu.
sshenron
« Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe? »<br /> J’ai opté pour des Yubikey. Branchée à coté de mon clavier une simple pression dessus suffit. Si une authentification est nécéssaire depuis un téléphone, avec le NFC il suffit juste de la placée à coté du mobile.
jibelito
Depuis combien d’annees ces ennuis ont étés créés et ici aussi? ces ennuis représentent 90% des utilisateurs des OSs non libres comme Apple et Microsoft avec les OSs libres comme Debian, Ubuntu ou studio-ubuntu SANS les AVs !!Qui sait ce qui a commencé ? ben, tout bêtement Microsoft + les app’s de courrielleur et de navigateur au choix ! ! ! Si les réglages de ces app’s ont étés fait parfaitement , il n’y aura qu’avec les mails frauduleux transférés dans les « indésirables » Depuis + de 10 ans je n’ai que certains OSs libres qui fonctionnent très bien, même avec github ou j’ai un compte… Par contre, avoir eu Microsoft il y a QQs années, j’ai eu cette chance d’apprendre QQs tutos de ceci et de cela avec les OSs libres
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Facebook : la double authentification va devenir une règle, d'abord pour les comptes à risque Facebook : la double authentification va devenir une règle, d'abord pour les comptes à risque
Google va activer l'authentification à deux facteurs par défaut Google va activer l'authentification à deux facteurs par défaut
Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer
Google va automatiquement activer l’authentification double facteur sur 150 millions de comptes d’ici la fin de l’année Google va automatiquement activer l’authentification double facteur sur 150 millions de comptes d’ici la fin de l’année
Phishing chez Dropbox : vos données sont-elles encore en sécurité ? Phishing chez Dropbox : vos données sont-elles encore en sécurité ?