L’outil de développement logiciel GitHub nécessitera plus de comptes pour activer l’authentification à deux facteurs (2FA) à partir du 13 mars. Ce mandat s’étendra à tous les développeurs qui contribuent au code sur GitHub.com d’ici la fin de 2023.
GitHub a annoncé son intention de déployer une exigence 2FA dans un article de blog en mai dernier. À ce moment-là, le directeur de la sécurité de l’entreprise a déclaré que GitHub avait fait le pas parce qu’il (qui est utilisé par des millions de développeurs de logiciels à travers le monde dans une myriade d’industries) est un élément essentiel de la chaîne d’approvisionnement en logiciels. Cette chaîne d’approvisionnement a fait l’objet de plusieurs attaques au cours des dernières années et des derniers mois, et 2FA est une défense solide contre l’ingénierie sociale et d’autres méthodes d’attaque particulièrement courantes.
Lorsque ce billet de blog a été rédigé, GitHub a révélé que seulement 16,5 % environ des utilisateurs actifs de GitHub utilisaient 2FA, ce qui est bien inférieur à ce à quoi on pourrait s’attendre de la part de technologues qui devraient en connaître la valeur.
En décembre, GitHub a présenté les détails du plan qui entrera en vigueur pour plus de personnes dans quelques jours. L’entreprise identifiera les sous-ensembles spécifiques d’utilisateurs nécessaires pour prendre le train en marche en premier, tels que les membres de l’entreprise et de l’organisation, les utilisateurs qui ont contribué au code des référentiels critiques, etc.
Ces utilisateurs reçoivent des rappels périodiques dans le produit et par e-mail 45 jours avant l’entrée en vigueur de l’exigence. À partir de leur première connexion après la date limite de 2FA, ils reçoivent des rappels quotidiens pour activer 2FA. S’ils ne l’ont toujours pas fait sept jours plus tard, ils ne pourront pas accéder à la plupart des fonctionnalités de GitHub jusqu’à ce qu’ils le fassent. Vingt-huit jours après cela, GitHub lancera un « 2FA check-up » pour s’assurer qu’il fonctionne correctement et que l’utilisateur peut toujours accéder à son compte.
Au cours de 2023, de plus en plus de comptes seront intégrés à ce processus, avec tous les comptes de développeurs contributeurs inclus d’ici la fin de l’année, selon GitHub.
Ce n’est pas l’introduction de 2FA pour les comptes GitHub. Les utilisateurs peuvent depuis longtemps opter pour 2FA pour leurs comptes individuels, et les organisations d’entreprise ont pu exiger 2FA de tous les membres pendant un certain temps.
GitHub a également déployé progressivement l’exigence auprès de types d’utilisateurs spécifiques au cours des derniers mois. Par exemple, il a annoncé en décembre que « les responsables de packages avec plus d’un million de téléchargements hebdomadaires ou plus de 500 personnes à charge » devraient activer 2FA. Avant cela, il fallait 2FA pour les contributeurs aux bibliothèques JavaScript distribuées via NPM.
Si vous êtes un utilisateur de GitHub, vous devrez surveiller un e-mail ou une notification dans l’application vous informant de la disponibilité de votre ticket.