Dans un effort pour sécuriser davantage les comptes de développeurs et le code hébergé sur sa plateforme, GitHub a annoncé que ses utilisateurs devront s’inscrire à l’authentification à deux facteurs (2FA) d’ici la fin de l’année prochaine.
Plus précisément, toute personne qui contribue au code sur la plateforme appartenant à Microsoft devra activer une ou plusieurs formes d’authentification à deux facteurs.
Selon un nouvel article de blog du responsable de la sécurité de GitHub, Mike Hanley, la chaîne d’approvisionnement en logiciels commence avec les développeurs et les comptes des développeurs sont fréquemment visés par l’ingénierie sociale et la prise de contrôle des comptes. En protégeant les développeurs contre ces types d’attaques, la société fait le premier pas, et le plus important, vers la sécurisation de la chaîne d’approvisionnement des logiciels.
Pour l’avenir, GitHub prévoit d’explorer de nouveaux moyens d’authentification sécurisée de ses utilisateurs, notamment l’authentification sans mot de passe. En fait, l’année dernière, l’entreprise a ajouté la possibilité d’utiliser des clés de sécurité pour l’authentification dans le cadre de ses efforts pour évoluer vers un avenir sans mot de passe.
En novembre de l’année dernière, GitHub s’est engagé à réaliser de nouveaux investissements dans la sécurité des comptes npm, suite à des prises de contrôle de paquets npm résultant de la compromission de comptes de développeurs sans 2FA activé.
Se prémunir contre de multiples vulnérabilités
Bien que les vulnérabilités de type « zero-day » fassent l’objet d’une grande attention en ligne, les attaques moins onéreuses telles que l’ingénierie sociale, le vol d’informations d’identification ou les fuites de données sont en fait responsables de la plupart des violations de la sécurité.
Les comptes compromis sur GitHub peuvent être utilisés pour voler du code privé ou même pour apporter des modifications malveillantes à ce code. Malheureusement, ce ne sont pas seulement les personnes et leurs organisations associées à ces comptes compromis qui sont en danger, mais aussi tous les utilisateurs du code concerné.
La meilleure défense contre les comptes d’utilisateurs compromis consiste à aller au-delà de l’authentification de base par mot de passe. Cependant, seuls 16,5 % de tous les utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2FA.
Il faut vous y préparer
Les utilisateurs de GitHub ont largement le temps de se préparer à ce changement et la société a récemment lancé 2FA for GitHub Mobile sur iOS et Android. Ceux qui souhaitent apprendre comment configurer 2FA pour GitHub Mobile peuvent consulter ce document d’assistance pour commencer.