Zffoto - stock.adobe.com
GitHub tente d’imposer l’authentification double facteur
GitHub a annoncé qu’il rendrait obligatoire l’authentification à double facteur d’ici à la fin de l’année 2023. Un processus qui risque de prendre plus de temps que prévu.
Après avoir imposé une authentification double facteur aux développeurs des 100 packages NPM les plus téléchargés, GitHub prévoit d’étendre ce dispositif à tous les contributeurs, soit tous les développeurs qui déposent du code sur sa plateforme d’ici à la fin de l’année 2023.
« La plupart des failles de sécurité ne sont pas le produit d’attaques exotiques de type “zero-day”, mais plutôt d’attaques moins complexes telles que l’ingénierie sociale, le vol ou la fuite de crédences et d’autres moyens qui permettent aux attaquants d’avoir un large éventail d’accès aux comptes des victimes et aux ressources auxquelles elles ont accès », rappelle Mike Hanley, Chief Security Officer de GitHub, dans un billet de blog.
Et les utilisateurs de GitHub ont non seulement accès à des dépôts de code open source, mais aussi à ceux de leur employeur. La compromission des identifiants de la mauvaise personne (ou de la bonne, si l’on se trouve dans le camp des cyber-assaillants) peut avoir de graves répercussions sur l’écosystème IT tout entier.
Considérant que les authentifiants correspondent au premier maillon de la chaîne logistique logicielle, GitHub met en place un ensemble de mesures. La filiale de Microsoft a récemment déprécié l’utilisation de mot de passe pour se connecter à ses API REST et a imposé l’emploi de jeton Oauth ou de clés SSH afin de pouvoir réaliser des opérations Git. depuis GitHub.com. Les premiers utilisateurs de l’authentification 2FA reçoivent un mail de vérification quand ils se connectent à la plateforme depuis une machine inconnue. GitHub avait déjà renforcé sa politique de sécurité dès 2018 en imposant des mots de passe plus forts et, plus tard, en supportant le protocole WebAuthn.
Sauf que les mesures incitatives n’ont pas l’effet escompté d’après les remarques du CISO. « […] malgré le succès démontré, l’adoption de la 2 FA dans l’écosystème logiciel reste globalement faible. Aujourd’hui, seuls environ 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2 FA », écrit-il.
Dont acte. Le 31 mai 2022, les contributeurs des 500 paquets npm les plus téléchargés devront obligatoirement passer par l’authentification 2FA. Au troisième trimestre, GitHub prévoit d’étendre la mesure aux mainteneurs des paquets « à fort impact », ceux qui ont plus de 500 dépendances ou plus de 1 million de téléchargements hebdomadaires. « Nous tirerons parti de ce que nous avons appris de l’imposition de l’authentification 2FA sur npm et appliquerons ces leçons à nos efforts sur GitHub.com », assure Mike Hanley. Ce n’est que le prélude à un déploiement massif de ce dispositif.
GitHub laisse le choix des armes pour encourager l’adoption
GitHub le sait bien : l’authentification à double facteur (ou plus) demeure difficile à imposer, car beaucoup d’usagers la trouvent contraignante. Pour les administrateurs, son déploiement réclame une gymnastique particulière. L’éditeur multiplie donc les initiatives pour rendre ce mécanisme supportable.
Pour les individus, cela passe par le développement d’une application mobile disponible sur Android et iOS. GitHub met également en avant les clés de sécurité physique Yubikey, SoloKeys et Titan.
Actuellement, les entreprises qui utilisent GitHub.com peuvent rendre obligatoire l’application de l’authentification 2FA, ce qui empêche les utilisateurs n’ayant pas activé le mécanisme de se connecter aux domaines donnant accès aux dépôts privés. Reste à savoir dans quelle mesure GitHub peut obliger les entreprises à déployer ce dispositif, une pratique en soi longue et complexe.
À titre de comparaison, depuis le 1er février 2022, Salesforce exige contractuellement que tous ses utilisateurs utilisent l’authentification multifacteur (MFA) pour accéder à ses produits. Le géant du CRM avait précisé qu’il laisserait du temps à ses clients pour s’adapter, et il a déjà repoussé le calendrier d’activation. Encore aujourd’hui, les administrateurs peuvent désactiver la MFA pour leurs organisations. Le mécanisme sera réellement imposé entre juin 2022 et septembre 2023, selon les produits et les utilisateurs.
Ce que ne dit pas Mike Hanley, c’est que GitHub peut craindre des poursuites en justice si l’entreprise ne déploie pas les bonnes politiques et mesures contraignantes en prévention d’une compromission d’ordre critique, tout comme l’éditeur doit redoubler de prudence quant aux données hébergées sur sa plateforme. Les cyberattaquants responsables de la faille de Capital One avaient stocké les données piratées sur ses serveurs, ce qui avait valu à GitHub une plainte en class action en 2020, une affaire réglée à l’amiable en 2021.
Aussi, aucune mesure de sécurité n’est parfaite. Plus récemment, la compromission de jeton Oauth de Heroku et de Travis CI ont directement touché les usagers de GitHub. Des cyberattaquants ont pu copier le contenu de certains dépôts de code privés après avoir récupéré des listes complètes d’utilisateurs d’organisations GitHub. L’éditeur assure avoir prévenu les clients concernés.