GitHub déploie l’authentification à deux facteurs (2FA)

Ariane Beky,
Linkedin
Extensions Chrome GitHub

GitHub impose aux développeurs l’authentification à deux facteurs (2FA). Sa mise en oeuvre débute le 13 mars et se poursuivra jusqu’à la fin d’année 2023.

C’est officiel ! L’obligation d’authentification à deux facteurs (2FA) s’impose aux développeurs qui contribuent au code partagé sur la plateforme de développement GitHub.com.

« GitHub est au cœur de la chaîne d’approvisionnement logicielle, et la sécuriser commence avec les développeurs », ont expliqué dans un billet de blog Laura Paine et Hirsch Singhal, respectivement directrice marketing Security Lab et responsable produit chez GitHub.

La mise en œuvre de l’exigence 2FA pour protéger les comptes débute le 13 mars et se poursuivra jusqu’à la fin d’année 2023, comme prévu par la filiale de Microsoft.

L’obligation cible, dans un premier temps, de petits groupes de développeurs, contributeurs et administrateurs. A terme, tous les utilisateurs devront activer la 2FA.

Les comptes seront sélectionnés sur une base continue. Les développeurs seront informés par email. Ils auront 45 jours pour activer la 2FA une fois la première invitation reçue. Et 28 jours après sa mise en œuvre, ils devront à nouveau valider leurs paramètres 2FA.

GitHub entraîne dans son sillage toute une industrie

L’initiative 2FA de GitHub, initialement annoncée en mai 2022, s’inscrit dans un cadre plus large visant à sécuriser la plateforme et son écosystème. La détection/invalidation de mots de passe utilisateur compromis, le support de WebAuthn ou encore la vérification de connexion étendue à l’écosystème npm (Node Package Manager) en font partie.

« Notre initiative de double authentification s’inscrit dans un effort global visant à sécuriser le développement de logiciels en renforçant la protection des comptes sur la plateforme », a ajouté GitHub. Forte d’une communauté revendiquée de 100 millions de développeurs, l’entreprise américaine ambitionne bel et bien d’entraîner dans son sillage toute une filière.

La compromission d’un compte d’ingénieur logiciel peut fournir un accès à tous les terminaux exécutant son code, augmentant ainsi la surface d’attaque. C’est d’autant plus préoccupant compte tenu de la généralisation du partage de code que permet GitHub.

(crédit photo © Adobe Stock)