GitHub est sur le point d’exiger une authentification à deux facteurs (2FA) pour tous les développeurs qui contribuent au code de tout projet sur la plate-forme, une mesure conçue pour renforcer la chaîne d’approvisionnement logicielle.
La plate-forme d’hébergement de code appartenant à Microsoft a annoncé en mai dernier qu’elle avait l’intention de rendre 2FA obligatoire d’ici la fin de 2023, bien qu’elle ait commencé le processus plus tôt cette année-là pour les 100 meilleurs packages, suivis en novembre par d’autres packages « à fort impact ». . Ceux-ci ont été définis comme des packages avec plus d’un million de téléchargements hebdomadaires, ou plus de 500 dépendants (projets utilisant le package en question).
Maintenant, GitHub a confirmé qu’une application à l’échelle de la plate-forme commencera le 13 mars 2023 (dans quatre jours), un processus qui sera déployé progressivement pour différents groupes de développeurs et d’administrateurs de projet tout au long de l’année.
Chaîne d’approvisionnement
Avec quelque 100 millions d’utilisateurs développeurs, GitHub est un élément central de la chaîne mondiale d’approvisionnement en logiciels. Et alors que les inquiétudes concernant la sécurité de la chaîne d’approvisionnement des logiciels abondent depuis un certain temps, une série d’attaques très médiatisées ces dernières années ont propulsé la question au sommet des agendas politiques à l’échelle mondiale. Cela inclut la violation de la société de logiciels américaine SolarWinds en 2020 qui a eu un impact sur un grand nombre d’entités gouvernementales et d’entreprises qui ont utilisé le logiciel, ainsi que la faille de sécurité critique de Log4Shell qui est apparue dans un outil de journalisation open source populaire appelé Log4j.
Des incidents de sécurité aussi importants ont incité l’administration Biden à agir en 2021 lorsqu’elle a publié un décret visant à sécuriser les cyberdéfense du pays. Et la semaine dernière, le gouvernement a publié une nouvelle stratégie de cybersécurité qui comprenait des appels à Big Tech pour qu’ils assument davantage la responsabilité de s’assurer que leurs systèmes sont robustes, ce que l’A2F obligatoire contribuera dans une certaine mesure à aider.
Les logiciels open source en particulier ont été au centre des efforts de l’administration en matière de cybersécurité au cours des deux dernières années, en grande partie en raison de leur omniprésence. En effet, la grande majorité des logiciels contiennent au moins quelques composants open source, et nombre de ces composants sont l’œuvre d’un ou deux développeurs qui y travaillent pendant leur temps libre avec peu de soutien financier.
Et c’est dans ce contexte que GitHub a poussé l’agenda 2FA au cours de l’année écoulée, car il cherche à réduire les risques que des projets open source clés soient compromis par de mauvais acteurs via l’ingénierie sociale ou des tentatives similaires de prise de contrôle de compte.
Déploiement échelonné
L’approche échelonnée de GitHub pour appliquer 2FA est une tentative calculée pour s’assurer que tous ceux qui doivent être intégrés le font de leur propre gré et en temps utile.
« Ce déploiement progressif nous permettra de nous assurer que les développeurs sont en mesure de s’intégrer avec succès et de faire les ajustements nécessaires avant de passer à des groupes plus importants au fil de l’année », a écrit GitHub dans un article de blog. « GitHub est au cœur de la chaîne d’approvisionnement logicielle, et la sécurisation de la chaîne d’approvisionnement logicielle commence par le développeur. »
Les développeurs ciblés lors de cette première poussée d’inscription 2FA recevront un e-mail, et ils verront également une bannière sur leur tableau de bord GitHub leur demandant de s’inscrire. Ils auront alors 45 jours pour activer 2FA, avec des invites régulières pendant cette période pour se conformer. Si 2FA n’est pas configuré dans cette période de 45 jours, ils seront poussés à activer 2FA la prochaine fois qu’ils essaieront d’accéder à leur compte GitHub, bien qu’ils aient le choix de « snooze » cela pendant une semaine supplémentaire. Après cela, s’ils souhaitent accéder à n’importe quelle facette de leur compte GitHub, y compris la possibilité de publier du code, ils n’auront d’autre choix que de configurer 2FA.
Les utilisateurs de GitHub peuvent choisir leur mécanisme 2FA parmi les SMS, les clés de sécurité physiques, les applications d’authentification tierces et l’application mobile GitHub, tandis que GitHub conseille aux utilisateurs d’avoir plus d’une méthode 2FA activée comme mesure de sécurité.
GitHub 2FA en action. Crédits image : GitHub
Il convient de noter que la poussée 2FA ne se terminera pas avec l’inscription initiale. Ceux qui ont configuré 2FA recevront une autre invite après 28 jours leur demandant de valider leur méthode 2FA, qui est conçue pour empêcher les développeurs d’être bloqués sur leurs comptes en raison d’une application d’authentification mal configurée ou d’un numéro de téléphone mobile mal saisi. À ce stade, si l’utilisateur n’est pas en mesure d’authentifier son compte, il lui sera demandé de réinitialiser sa méthode 2FA sans perdre l’accès à son compte.
En ce qui concerne les développeurs qui peuvent s’attendre à recevoir des invites 2FA à partir du 13 mars, eh bien, GitHub a précédemment déclaré qu’il prendrait en compte divers points de données tels que la fréquence de publication, s’ils sont administrateurs d’entreprises et s’ils contribuent au plus populaire dépôts publics et privés.
Suite à ce déploiement initial, GitHub a déclaré qu’il appliquera toutes les leçons apprises au déploiement plus large jusqu’en 2023.