GitHub continue de pousser pour la démocratisation de l’authentification multifactorielle

    GitHub continue de pousser pour la démocratisation de l'authentification multifactorielle

GitHub introduit de nouvelles règles concernant les développeurs et la sécurité de l’authentification à deux facteurs (2FA).

Mercredi, la plate-forme de partage de code appartenant à Microsoft a déclaré que des modifications seraient apportées aux règles d’authentification existantes dans le cadre d’un effort visant à sécuriser l’écosystème logiciel tout en améliorant la sécurité des comptes.

Selon Mike Hanley, directeur de la sécurité (CSO) de GitHub, GitHub exigera que tout développeur contribuant au code de la plate-forme active ait au moins une forme d’authentification multifacteur (2FA) d’ici la fin de 2023.

L’authentification, une cible fréquente

Les projets open source sont des ressources populaires et largement utilisées, précieuses pour les particuliers comme pour l’entreprise. Cependant, si un acteur malveillant compromet le compte d’un développeur, cela pourrait entraîner le piratage des dépôts, la fuite de données et l’interruption du projet.

Le fournisseur de plateforme cloud Héroku, propriété de Salesforce, a révélé un incident de sécurité en avril. Un sous-ensemble de ses dépôts git privés a été compromis suite au vol de jetons OAuth, ce qui a potentiellement conduit à un accès non autorisé aux dépôts des clients.

GitHub affirme que la chaîne d’approvisionnement logicielle “a commencé avec le développeur” et a conservé ses contrôles dans cet esprit. La société estime que les comptes de développeurs sont “des cibles fréquentes d’attaques d’ingénierie sociale et de contrôle de compte”.

En fait, le problème des modules malveillants est en ligne enregistrer npm GitHub a également mis la sécurité de la chaîne d’approvisionnement logicielle au premier plan.

Dans de nombreux cas, ce n’est pas la vulnérabilité zero-day qui provoque l’effondrement des projets open source. Au lieu de cela, ce sont les faiblesses fondamentales – telles que les identificateurs de mot de passe faibles ou les informations volées – que les cyberattaques exploitent.

Compromis délicat

Cependant, la plate-forme a également reconnu qu’il pouvait y avoir un compromis entre la sécurité et l’expérience utilisateur. Ainsi, la dérogation 2023 donnera également à l’organisation le temps d'”optimiser” le domaine GitHub avant que les règles ne soient fixées dans le marbre.

“Les développeurs du monde entier peuvent s’attendre à plus d’options pour l’authentification sécurisée et la récupération de compte, ainsi qu’à des améliorations qui aident à prévenir et à récupérer la compromission de compte”, a commenté Hanley.

Pour GitHub, la mise en place de 2FA pourrait être un problème urgent : seuls 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm adoptent au moins une forme de 2FA.

GitHub est déjà amorti authentification de base, en utilisant uniquement des noms d’utilisateur et des mots de passe, au profit de l’intégration OAuth ou des jetons d’accès. L’organisation a également introduit le vérification de l’équipement par e-mail lorsque 2FA n’est pas activé.

Le plan actuel est de poursuivre un déploiement obligatoire de 2FA sur npm, en passant les 100 meilleurs packages aux 500, puis à ceux avec plus de 500 personnes en service ou un million de téléchargements hebdomadaires. Les enseignements tirés de ce test seront ensuite appliqués à GitHub.

La source: ZDNet.com

Leave a Comment