GitHub a annoncé qu’il allait bientôt déployer l’utilisation obligatoire de l’authentification à deux facteurs (2FA) sur les comptes des développeurs.
La plate-forme de développement de logiciels enverra initialement un e-mail à de petits groupes d’administrateurs et de développeurs, les informant du changement de leurs comptes, avant que l’ensemble de sa base de 100 millions d’utilisateurs ne soit finalement inscrit sur 2FA d’ici la fin de l’année.
« GitHub a conçu un processus de déploiement destiné à la fois à minimiser les interruptions imprévues et la perte de productivité pour les utilisateurs et à empêcher les verrouillages de compte », ont déclaré Hirsch Singhal, chef de produit du personnel, et Laura Paine, directrice du marketing produit, dans un article de blog commun. (s’ouvre dans un nouvel onglet) sur le site de l’entreprise.
Renforcer la sécurité
« Des groupes d’utilisateurs seront invités à activer 2FA au fil du temps, chaque groupe étant sélectionné en fonction des actions qu’ils ont entreprises ou du code auquel ils ont contribué. »
Une fois qu’un utilisateur reçoit l’e-mail 2FA, il dispose de 45 jours pour le configurer sur son compte.
Si les utilisateurs ne l’ont toujours pas activé après ce point, ils seront bloqués de toutes les fonctionnalités de leur compte jusqu’à ce qu’ils aient configuré 2FA. Pour éviter toute surprise, cependant, GitHub tiendra les utilisateurs informés du temps qu’il leur reste.
GitHub avait précédemment annoncé en mai et décembre 2022 que 2FA arriverait bientôt, et pour mieux préparer ses utilisateurs, il a également publié un guide sur la configuration de 2FA (s’ouvre dans un nouvel onglet) et comment récupérer (s’ouvre dans un nouvel onglet) votre compte si vous perdez votre appareil 2FA.
2FA est un type d’authentification multifacteur, une couche de sécurité supplémentaire pour s’assurer que c’est bien vous qui accédez à votre compte avec votre nom d’utilisateur et votre mot de passe. Un code est envoyé à un autre de vos appareils, généralement votre smartphone, que vous saisissez après avoir entré vos informations de connexion pour authentifier votre identité.
Pour la plupart des services qui utilisent 2FA, le code peut être envoyé par SMS ou une application d’authentification. En plus de cela, GitHub prendra également en charge 2FA via des clés de sécurité physiques et ses propres applications mobiles GitHub iOS et Android.
GitHub ne recommande cependant pas aux utilisateurs d’opter pour SMS 2FA, car il est moins sécurisé que d’autres formulaires, car les messages peuvent être interceptés et les jetons d’authentification générés peuvent être volés.
La décision d’appliquer 2FA fait suite aux efforts récents de GitHub pour rendre son service plus sécurisé. L’authentification des opérations Git via le mot de passe du compte d’un utilisateur a été révoquée (s’ouvre dans un nouvel onglet) en 2019, nécessitant à la place l’utilisation de jetons d’authentification tels que des clés SSH, qui pourraient ensuite être davantage sécurisées par des clés de sécurité à partir de 2021 (s’ouvre dans un nouvel onglet).