🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Sécurité : GitHub va bientôt rendre obligatoire la double authentification

17 décembre 2022 à 13h00
30
Github logo
GiThub

La plateforme GitHub va bientôt renforcer sa sécurité en imposant à ses utilisateurs l’authentification à deux facteurs.

Quelques semaines après une fuite d’identifiants sur GitHub, la plateforme vient d’annoncer qu’elle allait serrer la vis en matière de sécurité.

GitHub : la double authentification bientôt rendue obligatoire

Aujourd’hui, la plateforme GitHub compte près de 94 millions d’utilisateurs. Si vous n’aviez encore jamais entendu parler de ce nom auparavant, sachez qu’il s’agit d’un service d’hébergement open source qui permet notamment aux développeurs de gérer et de partager le code source de leur projet. En 2018, soit une décennie après son lancement, GitHub est devenu la propriété de Microsoft.

Prochainement, le processus de connexion sur GitHub se verra davantage renforcé. En effet, les utilisateurs de la plateforme devront obligatoirement saisir un code à usage unique à partir de l’année prochaine. C’est plus précisément dès le mois de mars 2023 que la double authentification entamera son déploiement. Cette initiative a bien évidemment pour objectif de faire de GitHub un outil plus sûr et où les utilisateurs pourront se sentir plus confiants quant à la qualité du code qu'ils téléchargent, comme cela nous est rapporté par le site BleepingComputer.

2FA sur GitHub : conditions et déploiement

L’activation de cette fonctionnalité nécessitera au préalable une manipulation de votre part. Vous recevrez tout d’abord un e-mail et disposerez ensuite d’un délai de 45 jours pour activer l’authentification à deux facteurs. Une fois ce délai passé, les utilisateurs recevront un ultime et dernier rappel (ils disposeront alors d’une semaine supplémentaire) avant d’être privés de l’accès à GitHub. Vous l’aurez bien compris, l’activation de la double authentification deviendra donc bel et bien obligatoire à partir du mois de mars prochain si vous souhaitez continuer à bénéficier du service.

En ce qui concerne son déploiement, notez qu’il se fera en plusieurs temps. Celles et ceux ayant contribué aux dépôts de code les plus importants ou qui sont considérés comme critiques, les administrateurs d’entreprises et d’organisations, ou encore les développeurs ayant publié des applications ou des paquets, seront les premiers à pouvoir ou plutôt à devoir activer la double authentification sur GitHub.

Quoi qu’il en soit, l'entreprise Microsoft semble bien décidée à renforcer la sécurité de GitHub. L’ensemble des comptes devront donc activer l’authentification à deux facteurs dès l’année prochaine pour un espace de travail toujours plus sécurisé.

Source : BleepingComputer

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
30
11
gamez
ca me saoule ces obligations.<br /> chacun devrait pouvoir choisir sil veut ou non protéger son compte comme un coffre fort…<br /> j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter
Squeak
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal. Les gens qui estiment avoir besoin de sécurité supplémentaire n’ont certainement pas attendu cette obligation pour activer l’authentification à deux facteurs.<br /> Mais c’est vrai aussi d’un coté que certains comptes n’ont pas vraiment d’importance. Entre une boîte e-mail qui est utilisée de manière professionnelle et un compte sur un forum, il est vrai que je ne vais pas passer du temps à activer l’authentification à deux facteurs, un mot de passe fort et unique suffira dans bien des cas.<br /> Ca ne représente pas vraiment plus de manipulations au quotidien, la plupart des sites ont une option pour enregistrer l’appareil ou le navigateur comme sûr (exemple: si tu te connectes toujours à partir de ton propre téléphone ou PC, tu n’auras pas à entrer le code unique à chaque fois).
RobinPrieur
C’est une bien mauvaise idée… Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…
xeno
c’est sans intérêt, si ce n’est de finir par devoir vivre de force avec des applications qui deviennes nécessaire pour utiliser a moindre bêtise.<br /> Surtout que cela sert strictement à rien, les véritables hacker se passe de la double authentification , a pet gêner l’utilisateur lambda …
MattS32
gamez:<br /> j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter<br /> Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres. Et c’est pour ça qu’ils préfèrent tout protéger.<br /> RobinPrieur:<br /> Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…<br /> La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).<br /> Et ta double authentification ne passe pas obligatoirement par ton téléphone.<br /> La double authentification de GitHub, c’est du TOTP standard, donc ça marche avec toutes les applis TOTP, sur téléphone, tablette, ordinateur ou même en extension de navigateur.
gamez
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal.<br /> ah mais je n’ai pas dit le contraire
gamez
Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres.<br /> En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?<br /> La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).<br /> Et ta double authentification ne passe pas obligatoirement par ton téléphone.<br /> Là aussi, plus de précisions ne seraient pas de refus.<br /> Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?
Squeak
Si le site permet d’enregistrer les informations de connexion en local (ce qui est le cas généralement), ça prendra peut être plus de temps mais une seule fois. A moins que tu n’utilises un ordinateur public à chaque fois.<br /> Premièrement taper, son mot de passe. Ensuite, ouvrir son application d’authentification qui génère un code (ou le recevoir par SMS si on a choisi cette méthode, qui est de moins en moins recommandée) et taper ce code.<br /> A ce moment, si le site permet de définir « se souvenir de ce navigateur », alors il créera un cookie et tu n’auras plus à taper ce code à chaque fois. Ton compte sera à la fois sécurisé (quelqu’un qui aurait ton mot de passe ne pourrait de toutes façons pas accéder) et sans trop de contraintes pour toi. Évidemment, si on a un accès physique à ton appareil ça changerait la donne.
MattS32
gamez:<br /> En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?<br /> Ton compte peut interagir avec d’autres, déposer des commentaires, soumettre des PR…<br /> Et si tu as des repos publics, il peut déposer dedans du code vérolé, que d’autres pourraient récupérer…
MattS32
gamez:<br /> Là aussi, plus de précisions ne seraient pas de refus.<br /> Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?<br /> Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> Donc passer la double authentification ne me prend pas plus de temps que de faire un Ctrl-V.<br /> Si éventuellement le token est pas généré par mon gestionnaire de mots de passe, ça me prend un peu plus de temps, le temps de lancer WinAuth et de taper son mot de passe à lui… Mais même comme ça, ça fait pas 30 secondes. Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…<br /> Et ensuite, cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.
gamez
MattS32:<br /> cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.<br /> Dans mon cas les cookies sont automatiquement effacés à la cloture de mon navigateur, donc j’aurais à subir la double authentification à chaque fois même si c’est le même navigateur. Pour preuve twitter m’envoit systématiquement un mail à chacune de mes connexions pour me dire que je me suis connecté à un nouvel appareil…qu’est ce que c’est chiant.<br /> certains vont me dire « t’as qu’à pas les effacer, je ne vois pas le problème de garder les cookies » si du coup on rentre dans ce jeu alors on n’a plus la liberté d’utiliser notre navigateur comme on veut.
gamez
MattS32:<br /> Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…<br /> je n’ai jamais prétendu ça…
MattS32
Toi non, mais celui à qui je répondais sur le temps que ça prend, oui.
jvachez
Tout à fait, ça devrait être limité aux cas où il est possible de dépenser l’argent du propriétaire du compte.<br /> Surtout que ce genre de protection se retourne souvent contre le propriétaire. Impossible de se rappeler l’ensemble des doubles authentifications au moment de résilier un numéro de téléphone. Pour les applications de double authentification c’est encore pire, changer de téléphone ou le réinitialiser peut tout bloquer.
MattS32
jvachez:<br /> Pour les applications de double authentification c’est encore pire, changer de téléphone ou le réinitialiser peut tout bloquer.<br /> Y a un nouveau concept qui a été inventé il y a peu pour palier ce genre de souci. Ça s’appelle la sauvegarde…<br /> En outre les services qui proposent une double authentification via une application TOTP offrent quasiment toujours un moyen secondaire d’authentification…<br /> Par exemple, pour GitHub, si pour une raison ou pour une autre je ne peux pas générer de token TOTP (que je peux déjà générer de plusieurs façons différentes, avec mon gestionnaire de mot de passe installé sur trois PC, mon téléphone et ma tablette + une appli TOTP dédiée sur mon PC principal, mon téléphone et ma tablette), j’ai 7 alternatives disponibles :<br /> deux clés de sécurité physiques U2F/Fido,<br /> l’application GitHub Mobile sur mon téléphone et sur ma tablette,<br /> une liste de 20 codes à usage unique que j’ai sauvegardée sur mon PC principal et dans mon bloc notes en ligne (sans préciser bien sûr que ce sont mes codes GitHub),<br /> un code à usage unique envoyé par SMS.<br /> Peu de chances que tout ça soit en rade en même temps… Et si c’était un jour le cas, je pense que ma priorité serait pas de me connecter à mon GitHub
Squeak
Astuce très simple pour parer l’éventualité de la perte de l’application A2F : faire une capture d’écran du QR code avant de le valider et le garder en lieu sûr. De cette façon, il est possible de recréer la clé sur un autre appareil.<br /> Une clé TOTP est juste une chaîne de caractères qui est ensuite hachée avec l’heure en cours pour obtenir le code à un instant donné.
MattS32
Attention, le QR ne contient pas que la clé TOTP, il contient souvent aussi le nom du service et l’identifiant (sans le mot de passe bien sûr !).<br /> Il est préférable de sauvegarder la clé seule, qui est juste une séquence alphanumérique plus ou moins longue, qu’on peut facilement extraire du code QR.<br /> Ainsi quelqu’un qui tomberait dessus ne saura pas que ça correspond à ton compte sur un service donné.
Peggy10Huitres
Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> Donc passer la double authentification ne me prend pas plus de temps que de faire un Ctrl-V.<br /> Vous parlez du code à 6 chiffres que l’on retrouve dans « Google Authenticator » ?<br /> Cela dit, je vois effectivement que dans Bitwarden il y’a un champ « Authenticator Key (TOTP) » ( tous vierge chez moi )<br /> Ca se configure comment ?
Squeak
Je sais mais ça commence à faire beaucoup de conditions pour que quelqu’un puisse y avoir accès. Il faudrait que la personne ait un accès physique à la machine, qui peut être protégée par un mot de passe et en plus le fichier contenant le QR code en question pourrait lui-même être chiffré si on pousse le bouchon encore plus loin
jvachez
Il y a des double authentification où l’on ne peut pas même si on a stocké car il y a une date d’expiration.
MattS32
Peggy10Huitres:<br /> Vous parlez du code à 6 chiffres que l’on retrouve dans « Google Authenticator » ?<br /> Oui, c’est ça.<br /> Peggy10Huitres:<br /> Cela dit, je vois effectivement que dans Bitwarden il y’a un champ « Authenticator Key (TOTP) » ( tous vierge chez moi )<br /> Ca se configure comment ?<br /> Quand on configure un service pour la double authentification, il donne généralement un QR à scanner dans l’application de TOTP (Google Authenticator ou autre).<br /> À partir de là, plusieurs options :<br /> soit tu scannes directement le QR code avec la version mobile de Bitwarden,<br /> soit tu scannes le QR code avec une application de lecture de code QR. L’application va alors te sortir une URL du genre otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&amp;issuer=Example. Il faut alors recopier la partie en gras (elle peut être plus ou moins longue) dans Bitwarden.<br /> soit tu scannes le QR avec une application de TOTP qui permet d’afficher les clés (ce n’est pas le cas de Google Authenticator à ma connaissance, mais c’est le cas par exemple de FreeOTP et Aegis). Tu pourras alors afficher la clé et la recopier dans Bitwarden,<br /> soit le service t’affiches la clé, en plus du QR code (des fois en sélectionnant d’abord une option du genre « Saisie manuelle »), et tu peux la recopier directement dans Bitwarden.<br />
Squeak
Je n’ai jamais vu un tel scénario. Un exemple?<br /> Cela peut être le service qui définit qu’une clé doit être renouvelée à intervalles réguliers, pas le QR code qui peut être lu et réutilisé pour recréer exactement la clé. Une application d’authentification qui a scanné le code à un moment donné garde cette clé. L’application qui génère le code ne communique rien sur Internet, d’ailleurs elle fonctionne hors ligne.<br /> Là on parle bien du système TOTP, pas d’authentification qui utiliserait une autre méthode.
Peggy10Huitres
soit tu scannes directement le QR code avec la version mobile de Bitwarden,<br /> soit tu scannes le QR avec une application de TOTP qui permet d’afficher les clés (ce n’est pas le cas de Google Authenticator à ma connaissance, mais c’est le cas par exemple de FreeOTP et Aegis).<br /> Effectivement j’utilise Aegis ( sur Cellphone ) et Bitwarden en Ext.Navigateur.<br /> Et effectivement en fouillant dans Aegis il y’a bien un champs appelé « Secret » avec la clef correspondante ( assez longue )<br /> Tu pourras alors afficher la clé et la recopier dans Bitwarden<br /> Je viens de le faire, mais une fois insérée il me met : « Premium Subscription Required »<br /> Je ne peux donc pas tester ( du moins avant de souscrire )<br /> Du coup je ne peux totalement comprendre le fonctionnement …<br /> Bitwarden doit me « générer/copier dans le presse papier » le code à 6 chiffres grace à cette clef inséré dans Bitwarden ?<br /> Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> D’ou cette question : Le faite vous avec Bitwarden ?<br /> Dans le sens ou je n’ai pas envie de souscrire/payer pour rien … <br /> Merci …
jvachez
C’est une application qui s’appelle FortiToken je sais pas quel est le format mais juste que ça prouve que la double authentification ça embête avant tout ceux qui ont un accès légitime.
MattS32
Peggy10Huitres:<br /> Du coup je ne peux totalement comprendre le fonctionnement …<br /> Bitwarden doit me « générer/copier dans le presse papier » le code à 6 chiffres grace à cette clef inséré dans Bitwarden ?<br /> Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.<br /> D’ou cette question : Le faite vous avec Bitwarden ?<br /> Dans le sens ou je n’ai pas envie de souscrire/payer pour rien … <br /> Merci …<br /> Oui, je le fait avec Bitwarden.<br /> Bitwarden peut soit t’afficher le token TOTP dans la « fiche » du service :<br /> totp-bitwarden393×619 14.9 KB<br /> Soit le copier dans le presse-papier sur demande à partir de la liste des services :<br /> Soit le copier automatiquement dans le presse-papier après avoir fait la saisie automatique de l’identifiant et du mot de passe. Pour ça, il faut activer une option dans Paramètres &gt; Options :<br />
Squeak
Alors oui, peut-être quelque chose qui utilise une technique propriétaire, c’est parfois le cas avec certaines solutions professionnelles (notamment celles qui utilisent plutôt une notification push pour approuver la connexion), des VPN etc.<br /> Sinon pour « embêter ceux qui accès légitime », je dis souvent que plus de sécurité implique parfois des contraintes. Et ces contraintes sont parfois minimes comparé au service rendu : perdre 3 secondes de plus pour entrer un code ou passer des semaines à se remettre d’une cyberattaque, pour une entreprise par exemple le choix est fait. Après, pour l’utilisateur banal, c’est sûr que ça peut faire chouiner un peu.
Peggy10Huitres
Oui, je le fait avec Bitwarden.<br /> Bitwarden peut soit t’afficher le token TOTP dans la « fiche » du service :<br /> Oui c’est là ou ça me met : « Premium Subscription Required »<br /> Soit le copier dans le presse-papier sur demande à partir de la liste des services :<br /> Soit le copier automatiquement dans le presse-papier après avoir fait la saisie automatique de l’identifiant et du mot de passe. Pour ça, il faut activer une option dans Paramètres &gt; Options<br /> Ok, parfait !<br /> Je crois que je n’ai plus qu’a souscrire à l’offre Premium pour que cela fonctionne tout autant de mon coté …<br /> Merci beaucoup pour la précision / qualité ( et j’insiste ) de vos réponses …<br /> Vous en connaissez un rayon, si je me base sur l’enssemble de vos commentaires Clubic !<br /> Bravo à Vous et Merci …<br /> Cordialement !
sshenron
« Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe? »<br /> J’ai opté pour des Yubikey. Branchée à coté de mon clavier une simple pression dessus suffit. Si une authentification est nécéssaire depuis un téléphone, avec le NFC il suffit juste de la placée à coté du mobile.
jibelito
Depuis combien d’annees ces ennuis ont étés créés et ici aussi? ces ennuis représentent 90% des utilisateurs des OSs non libres comme Apple et Microsoft avec les OSs libres comme Debian, Ubuntu ou studio-ubuntu SANS les AVs !!Qui sait ce qui a commencé ? ben, tout bêtement Microsoft + les app’s de courrielleur et de navigateur au choix ! ! ! Si les réglages de ces app’s ont étés fait parfaitement , il n’y aura qu’avec les mails frauduleux transférés dans les « indésirables » Depuis + de 10 ans je n’ai que certains OSs libres qui fonctionnent très bien, même avec github ou j’ai un compte… Par contre, avoir eu Microsoft il y a QQs années, j’ai eu cette chance d’apprendre QQs tutos de ceci et de cela avec les OSs libres
clockover
Bof mettre une porte « blindée » (oui parce que c’est pas infaillible) pour au final tout déposer chez Microsoft qui récupère tout et passe 36 moulinettes sur le code…<br /> C’est un peu idiot non ?
Voir tous les messages sur le forum

Derniers actualités

Star Wars: Visions revient bientôt... et pas à n'importe quelle date !
Sous Windows 10 ? Avez-vous vu cette gigantesque invitation à installer Windows 11 (merci Microsoft) ?
Pénalités, bannissement... Voici ce que change TikTok dans sa modération
Netflix et Ubisoft offrent enfin une suite à cet excellent jeu… et elle est déjà dispo sur mobile !
Soldes Amazon : les 10 offres canons de la dernière démarque
Framework : le laptop modulaire se transforme en un projet triple-écran rétrofuturiste qui fait rêver !
Caméras de sécurité Eufy : oui Anker a menti, mais promet de faire mieux
Semi-conducteurs : les restrictions imposées par le Japon et les Pays-Bas pourraient ne pas suffire
Explorateur Windows 11 : encore des nouveautés dans la prochaine mise à jour
Amazon brade la clé USB SanDisk Ultra Dual Drive Go 128 Go à -50%
Haut de page