Au cours des neuf prochains mois, le plus grand service d’hébergement Internet pour le développement de logiciels et la collaboration obligera tous les contributeurs au code à ajouter une autre couche de preuves électroniques à leurs comptes.
GitHub, utilisé par la majorité des grandes entreprises technologiques, a annoncé qu’il déploie 2FA. Reconnaissant les risques de sécurité de la chaîne d’approvisionnement, qui ont augmenté, la société entame un déploiement de neuf mois le lundi 13 mars. Tous les développeurs qui contribuent au code sur la plate-forme devront éventuellement adopter le protocole de sécurité, a annoncé la société jeudi.
VOIR : Kit de recrutement : Développeur full stack (TechRepublic Premium)
Le service DevOps appartenant à Microsoft a déclaré que cette décision s’alignait sur la stratégie nationale de cybersécurité, qui, entre autres, impose la responsabilité et davantage de responsabilité en matière de sécurité aux fournisseurs de logiciels.
Sauter à:
Être développeur ne vous rend pas invulnérable
Même les développeurs font erreurs et peuvent être victimes d’atteintes à la sécurité. Mike Hanley, directeur de la sécurité et vice-président senior de l’ingénierie chez GitHub, écrit dans un blog de mai 2022 – qui a mentionné le plan 2FA pour la première fois – que les comptes compromis peuvent être utilisés pour voler du code privé ou apporter des modifications malveillantes à ce code.
« Cela met en danger non seulement les individus et les organisations associés aux comptes compromis, mais également tous les utilisateurs du code affecté », a-t-il écrit. « Le potentiel d’impact en aval sur l’écosystème logiciel plus large et la chaîne d’approvisionnement en conséquence est substantiel. »
VOIR : Comment minimiser les risques de sécurité : Suivez ces meilleures pratiques pour réussir (TechRepublic Premium)
Différents choix 2FA, mais la biométrie et les clés de sécurité l’emportent sur les SMS
GitHub propose également un option 2FA préférée pour la connexion au compte avec une invite sudo, permettant aux utilisateurs de choisir entre des mots de passe à usage unique basés sur le temps, des SMS, des clés de sécurité ou GitHub Mobile. Cependant, la société exhorte les utilisateurs à utiliser des clés de sécurité et des TOTP, notant que la 2FA basée sur SMS est moins sécurisée.
NIST, qui ne recommande plus 2FA, a souligné que :
- Un secret hors bande envoyé par SMS peut être reçu par un attaquant qui a convaincu l’opérateur mobile de rediriger le téléphone portable de la victime vers l’attaquant.
- Une application malveillante sur le terminal peut lire un secret hors bande envoyé par SMS et l’attaquant peut utiliser le secret pour s’authentifier.
« Les méthodes les plus puissantes largement disponibles sont celles qui prennent en charge la norme d’authentification sécurisée WebAuthn », a déclaré GitHub dans son annonce. « Ces méthodes incluent des clés de sécurité physiques ainsi que des appareils personnels prenant en charge des technologies telles que Windows Hello ou Face ID/Touch ID. »
VOIR : 1Password envisage un avenir sans mot de passe. Voici pourquoi (TechRepublic)
GitHub a déclaré qu’il testait également clés d’accèsle protocole d’identification de nouvelle génération, comme défense contre les exploits tels que le phishing.
« Parce que les clés de sécurité sont encore une méthode d’authentification plus récente, nous travaillons à les tester en interne avant de les déployer aux clients », a déclaré un porte-parole. « Nous pensons qu’ils combineront la facilité d’utilisation avec une authentification forte et résistante au phishing. »
Le dernier mouvement suit la cadence des programmes de sécurité GitHub
Dans le but de combler les lacunes pour lutter contre les acteurs de la menace, GitHub a étendu son programme d’analyse secrète l’automne dernier, permettant aux développeurs de suivre tous les secrets exposés publiquement dans leur référentiel GitHub public.
Et plus tôt cette année, GitHub a lancé une option de configuration pour l’analyse de code appelée « configuration par défaut » qui permet aux utilisateurs d’activer automatiquement l’analyse de code.
« Notre initiative 2FA fait partie d’un effort à l’échelle de la plate-forme pour sécuriser le développement de logiciels en améliorant la sécurité des comptes », a déclaré la société dans un communiqué, notant que les comptes de développeur sont des cibles d’ingénierie sociale et de prise de contrôle de compte.
Déploiement sur plusieurs mois pour minimiser les perturbations et optimiser les protocoles
Le processus de diffusion des nouveaux protocoles vise à minimiser les perturbations pour les utilisateurs, avec des groupes sélectionnés en fonction des actions qu’ils ont entreprises ou du code auquel ils ont contribué, selon GitHub (Figure A).
Figure A
La société a déclaré que le déploiement lent permettrait également à GitHub de faire plus facilement les ajustements nécessaires avant de passer à des groupes de plus en plus grands au cours de cette année.
Un porte-parole de GitHub a expliqué que, bien que la société n’offre pas de détails sur la manière dont les utilisateurs se qualifient pour faire partie de certains groupes dans la cadence 2FA, la personne a déclaré que les groupes sont déterminés, en partie, en fonction de leur impact sur la sécurité du écosystème plus large. Les groupes à fort impact comprendront des utilisateurs qui :
- Applications GitHub ou OAuth publiées, Actions ou paquets.
- A créé un libérer.
- Code contribué aux référentiels jugés critiques par npm, OpenSSF, APIPy ou RubyGems.
- Code contribué à l’un des quatre millions de dépôts publics et privés les plus importants.
- Agir en tant qu’administrateurs d’entreprise et d’organisation.
Pour ceux qui ont un penchant proactif, la société propose 2FA immédiatement à un dédié placer.
GitHub propose aux développeurs une chronologie 2FA
Le processus pour les contributeurs GitHub définit plusieurs marqueurs de temps pour lancer 2FA autour d’une date limite souple (Figure B).
Figure B
Avant la date limite
Les contributeurs GitHub sélectionnés pour un groupe 2FA en attente recevront une notification préalable par e-mail 45 jours avant la date limite, les informant de la date limite et offrant des conseils sur la façon d’activer 2FA.
Une fois le délai d’activation passé
Les personnes notifiées seront invitées à activer 2FA la première fois qu’elles accéderont à GitHub.com chaque jour. Ils peuvent répéter cette invite une fois par jour pendant une semaine maximum, mais après cela, ils ne pourront plus accéder aux fonctionnalités de GitHub.com tant qu’ils n’auront pas activé 2FA.
28 jours après l’activation de 2FA
Les utilisateurs recevront un « check-up » 2FA lors de l’utilisation de GitHub.com, qui valide que leur configuration 2FA fonctionne correctement. Les utilisateurs précédemment connectés pourront reconfigurer 2FA s’ils ont mal configuré ou égaré des seconds facteurs ou des codes de récupération lors de l’intégration.
Flexibilité des e-mails pour éviter le verrouillage
Heureusement, les nouveaux protocoles permettent aux utilisateurs dissocier l’e-mail à partir d’un compte GitHub compatible 2FA pour éviter le paradoxe d’être exclu de la chose même – le courrier électronique – qui leur permet de vérifier le compte s’ils ne peuvent pas se connecter ou le récupérer.
« Si vous ne parvenez pas à trouver une clé SSH, un PAT ou un appareil qui a déjà été connecté à GitHub pour récupérer votre compte, il est facile de repartir à zéro avec un nouveau compte GitHub.com et de garder ce graphique de contribution légitimement vert », a déclaré l’entreprise.
Français 
Español