tostphoto - stock.adobe.com
2FA : GitHub déroule son plan sans éviter les concessions
GitHub a ajouté la prise en charge des SMS et de nouvelles fonctionnalités de prévention du verrouillage des comptes à ses plans de déploiement progressif, alors qu’il met en œuvre une exigence 2FA pour les contributeurs à partir de ce lundi.
L’exigence de GitHub en matière d’authentification double facteur entre en vigueur pour les premiers les groupes de contributeurs enrôlés à partir de ce lundi. La filiale de Microsoft a divulgué d’autres plans pour se prémunir contre le verrouillage des comptes et élargir les options pour les utilisateurs.
Les détails du déploiement s’inscrivent dans le cadre du plan de GitHub, divulgué en mai 2022, visant à exiger de tous les développeurs qui contribuent au code sur GitHub qu’ils activent l’authentification 2FA d’ici à la fin de 2023. Il s’agit d’un système dans lequel les utilisateurs se connectent en répondant à un message envoyé à un appareil distinct, tel qu’un smartphone via une application, un appareil personnel qui prend en charge l’accès biométrique ou une clé de sécurité physique. Cette approche de l’authentification vise à contrecarrer les invasions de la chaîne d’approvisionnement logicielle en empêchant l’accès aux attaquants disposant uniquement d’informations d’identification d’accéder aux comptes GitHub.
Outre la date officielle du 13 mars pour l’inscription au 2FA, GitHub a indiqué qu’il prendrait en charge les SMS comme deuxième facteur d’authentification pour les utilisateurs. Il recommande également vivement l’utilisation d’une application de mot de passe à usage unique basé sur le temps (TOTP) et de clés de sécurité physiques.
Il est possible de configurer un troisième facteur, dont la réception d’un SMS, afin de s’assurer que les utilisateurs ne perdent pas l’accès à leur compte. Enfin, un utilisateur qui perd l’accès à son compte pourra dissocier son adresse électronique préférée et créer un nouveau compte.
La vérification d’identité par SMS, un risque nécessaire ?
Cette flexibilité est potentiellement risquée, selon certains utilisateurs, mais elle est compréhensible, car GitHub cherche à faire entrer des millions de développeurs dans le monde dans le système 2FA. Les SMS sont désormais considérés comme moins sûrs que les autres méthodes de validation, comme l’a reconnu Github, dans un billet de blog publié la semaine dernière. Le NIST considère cette méthode d’authentification comme obsolète depuis 2016. Les attaquants ont des moyens d’intercepter ces messages en utilisant des techniques telles que l’échange de cartes SIM.
« Il y a encore des régions du monde où le déploiement des jetons matériels et autres n’est tout simplement pas réalisable, ou peut-être qu’ils n’ont pas de [smartphones] », évoque Reed Loden, vice-président de la sécurité chez Teleport, un fournisseur d’accès sécurisé. « GitHub essaie d’être le centre de développement pour le monde entier… il peut donc être nécessaire de soutenir cette étape provisoire, bien que j’aimerais voir le SMS complètement disparaître à l’avenir, simplement parce qu’il n’est pas sûr [en tant que facteur d’authentification] ».
Un autre utilisateur de GitHub a comparé la prise en charge des SMS à la position de Twitter, que le réseau social a supprimé le 15 février pour les utilisateurs non payants.
« Ce que Twitter a fait en désactivant le 2FA par SMS à moins que vous ne payiez une prime n’est pas la bonne solution », avance Rick Rackow, SRE senior chez Tomtom. « Pointer du doigt les problèmes tout en laissant la décision à l’usager est nettement mieux, c’est pourquoi j’aime l’approche de GitHub ».
Une mise à jour du blog officiel de GitHub en décembre comprenait également des informations sur une vérification prévue pour les utilisateurs de GitHub.com 28 jours après l’activation de l’authentification double facteur. Cette vérification permettra aux utilisateurs de reconfigurer le 2FA s’ils ont égaré leur deuxième facteur ou s’ils ont besoin de réinitialiser leur mot de passe.
La période de contrôle de 28 jours introduit également un certain risque, signale Rick Rackow.
« Fondamentalement, cela signifie que toute personne souhaitant prendre le contrôle d’un compte sait qu’il s’agit de sa dernière chance », déclare-t-il. « Cependant, il est très probable que tout se passera bien. D’une manière générale, il s’agit d’un grand pas en avant vers une chaîne d’approvisionnement plus sûre pour tous ceux qui utilisent des logiciels libres et ouverts ».
Les détails du déploiement de l’authentification 2FA de GitHub
Les utilisateurs préinscrits commenceront à recevoir des rappels réguliers dans le produit et des rappels occasionnels par e-mail pour activer l’authentification pendant 45 jours avant la date limite de leur groupe d’inscription, à partir de lundi.
Après cette date :
– Les utilisateurs auront sept jours pour s’inscrire à partir de leur première connexion à la plateforme GitHub après la date limite.
– Jusqu’à 28 jours après l’inscription, les utilisateurs pourront reconfigurer les détails de leur compte 2FA.
– Au-delà de 28 jours après l’inscription, un utilisateur qui perd l’accès à son compte peut dissocier une adresse électronique préférée et créer un nouveau compte avec celle-ci.
– GitHub prendra en charge le 2FA par SMS, bien qu’il recommande fortement les applications de mot de passe à usage unique basé sur le temps (TOTP) et les clés de sécurité physiques.
– GitHub prendra en charge un facteur supplémentaire en guise de sauvegarde, de sorte que les utilisateurs puissent avoir à la fois une application TOTP et un numéro de SMS, par exemple, enregistrés sur leurs comptes.
Les utilisateurs ayant plus d’un deuxième facteur pourront définir un facteur préféré à essayer en premier. L’application GitHub Mobile sera également prise en charge en tant que deuxième facteur.
GitHub établit un calendrier 2FA et teste les clés FIDO
En novembre, GitHub a commencé à exiger le 2FA pour les mainteneurs de paquets npm ayant plus d’un million de téléchargements hebdomadaires ou plus de 500 dépendances. Le déploiement du 2FA sur GitHub ce mois-ci donnera la priorité aux groupes qui s’inscrivent rapidement et qui sont considérés comme critiques, d’après le message de décembre. GitHub ne précise pas exactement quels développeurs font partie de ces groupes, mais indique que cette sélection s’appuiera sur des critères incluant les administrateurs d’entreprises et d’organisations, ainsi que les contributeurs aux 4 millions de dépôts publics et privés les plus importants.
Les utilisateurs préinscrits commenceront à recevoir des rappels réguliers dans le produit et des rappels occasionnels par e-mail pour activer le 2FA pendant 45 jours avant la date limite de leur groupe d’inscription, débutant ce lundi. Une fois la date limite d’inscription au 2FA atteinte, les utilisateurs pourront retarder cette notification jusqu’à sept jours avant de se voir bloquer l’accès aux fonctionnalités de GitHub jusqu’à ce que le 2FA soit activé.
« Ne vous inquiétez pas », tempèrent les porte-parole de GitHub dans leur billet de blog. « Cette période de suspension ne commence qu’une fois que vous vous êtes connecté après la date limite, donc si vous êtes en vacances ou absent du bureau, vous aurez toujours cette période d’une semaine pour configurer l’authentification lorsque vous serez de retour à votre bureau ».
Alors que certains utilisateurs de GitHub se sont opposés à l’exigence du 2FA, estimant qu’il s’agissait d’une entrave inutile à la productivité des développeurs dans les dépôts de code moins sensibles, d’autres estiment qu’il s’agit d’une idée qu’il est temps de mettre en œuvre.
« Pour un produit comme GitHub, on peut supposer que les utilisateurs sont suffisamment avertis sur le plan technique pour comprendre comment utiliser le 2FA, et c’est un moyen relativement facile de renforcer considérablement la sécurité des usagers », poursuit Rick Rackow.
GitHub a également réaffirmé la semaine dernière qu’il testait les passkeys du consortium industriel FIDO Alliance, qui développe des « normes ouvertes, plus sûres que les mots de passe et les OTP par SMS, plus simples à utiliser pour les consommateurs et plus simples à déployer et à gérer pour les fournisseurs de services ». Les passkeys utilisent des normes de chiffrement à clé publique pour authentifier les appareils clients protégés par des données biométriques, tels que les smartphones, ce qui élimine complètement l’authentification par mot de passe.
Les experts du secteur considèrent les passkeys comme le moyen idéal à long terme pour contrecarrer les attaques de la chaîne d’approvisionnement logicielle sur la plateforme.
« Les passkeys élimineront les problèmes de productivité des développeurs et représentent l’avenir de l’authentification », prédit Larry Carvalho, analyste indépendant chez RobustCloud.
Entre-temps, il y a eu de nombreux exemples d’exploitation des environnements de développement pour accéder à des secrets d’entreprise, rappelle l’analyste.
« Les développeurs sont soumis à un stress pour être productifs et sont des cibles prometteuses pour les pirates exploitant l’ingénierie sociale », indique Larry Carvalho. « Tout changement qui réduit la productivité des développeurs suscitera des réactions négatives, mais j’applaudis GitHub pour avoir mis en œuvre cette mesure essentielle ».