GitHub fait une avancée significative vers l’authentification à deux facteurs (2FA), nécessitant que tous les utilisateurs qui contribuent au code des référentiels hébergés sur GitHub rendent possible une ou plusieurs formes de 2FA d’ici la fin de 2023. Le cette décision affectera 83 millions de développeurs, au dernier décompte.
En discutant de son raisonnement, GitHub a déclaré que de nombreuses failles de sécurité ne sont pas le fait d’attaques exotiques du jour zéro, mais incluent plutôt des attaques à moindre coût comme l’ingénierie sociale, le vol ou la fuite d’informations d’identification et d’autres moyens permettant aux agresseurs d’accéder aux comptes des victimes. Les comptes compromis peuvent être utilisés pour voler du code privé ou apporter des modifications destructrices au code, affectant ainsi également les utilisateurs de l’application. Le potentiel d’impact en aval sur l’écosystème logiciel et la chaîne d’approvisionnement au sens large est important. La meilleure défense est d’aller au-delà de l’authentification par mot de passe, a déclaré la société.
GitHub a actuellement pris des mesures dans ces instructions en dépréciant l’authentification standard pour les opérations Git et l’API REST de GitHub et en exigeant une vérification des appareils par e-mail. En plus d’un nom d’utilisateur et d’un mot de passe, 2FA est une nouvelle ligne de défense puissante. Actuellement, seulement 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de NPM utilisent un ou plusieurs types de 2FA, a déclaré GitHub. GitHub a récemment introduit 2FA pour GitHub Mobile sur iOS et Android. Ceux qui souhaitent configurer GitHub Mobile 2FA peuvent découvrir comment le faire à partir d’un article GitHub de janvier 2022. La société prévoit de fournir plus d’options pour une authentification sécurisée et une récupération de compte, ainsi que des améliorations pour récupérer d’un compromis de compte.
GitHub a inscrit tous les mainteneurs des 100 principaux bundles dans le registre informatique NPM en 2FA obligatoire en février, et a inscrit tous les comptes NPM en confirmation de connexion améliorée en mars.
L’entreprise a déclaré que tous les mainteneurs de les 500 principaux packages seront enregistrés dans la 2FA obligatoire le 31 mai. Les mainteneurs de packages NPM à fort impact, ceux qui comptent plus de 500 personnes à charge ou un million de téléchargements hebdomadaires, seront inscrits à la 2FA au 3ème trimestre de cette année.
Toute l’actualité en temps réel, est sur L’Entrepreneur
