GitHub continue de pousser pour la démocratisation de l’authentification multifacteurs
GitHub introduit de nouvelles règles concernant les développeurs et la sécurité de l’authentification à deux facteurs (2FA).
Mercredi, la plateforme de partage de code appartenant à Microsoft a déclaré que des modifications seraient apportées aux règles d’authentification existantes dans le cadre d’un effort visant à sécuriser l’écosystème logiciel en améliorant la sécurité des comptes.
Selon Mike Hanley, directeur de la sécurité (CSO) de GitHub, GitHub exigera que tout développeur contribuant du code sur la plateforme active au moins une forme d’authentification multifacteurs (2FA) d’ici la fin de l’année 2023.
L’authentification, une cible fréquente
Les projets open source sont des ressources populaires et largement utilisées, précieuses pour les particuliers comme pour l’entreprise. Cependant, si un acteur malveillant compromet le compte d’un développeur, cela pourrait entraîner le piratage de dépôts, le vol de données et l’interruption du projet.
Le fournisseur de plateforme cloud Heroku, propriété de Salesforce, a révélé un incident de sécurité en avril. Un sous-ensemble de ses dépôts git privés a été compromis suite au vol de tokens OAuth, ce qui a potentiellement conduit à un accès non autorisé aux dépôts des clients.
GitHub affirme que la chaîne d’approvisionnement logicielle “commence par le développeur” et a resserré ses contrôles dans cet esprit. La société estime que les comptes de développeur sont “des cibles fréquentes pour les attaques d’ingénierie sociale et la prise de contrôle de compte”.
Récemment, le problème des modules malveillants mis en ligne sur le registre npm de GitHub a également mis la sécurité de la chaîne d’approvisionnement logicielle au premier plan.
Dans de nombreux cas, ce n’est pas une vulnérabilité zero day qui provoque l’effondrement des projets open source. Au lieu de cela, ce sont les faiblesses fondamentales – telles que les identifiants de mot de passe faibles ou les informations volées – que les cyberattaquants exploitent.
Compromis délicat
Cependant, la plateforme a également reconnu qu’il peut y avoir un compromis entre la sécurité et l’expérience utilisateur. Ainsi, l’échéance de 2023 donnera également à l’organisation le temps d'”optimiser” le domaine GitHub avant que les règles ne soient fixées dans le marbre.
“Les développeurs du monde entier peuvent s’attendre à plus d’options pour l’authentification sécurisée et la récupération de compte, ainsi qu’à des améliorations qui aident à prévenir et à récupérer de la compromission de compte”, a commenté Hanley.
Pour GitHub, la mise en œuvre de 2FA pourrait devenir un problème urgent: seuls 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm adoptant au moins une forme de 2FA.
GitHub a déjà déprécié l’authentification de base, utilisant uniquement des noms d’utilisateur et des mots de passe, au profit de l’intégration d’OAuth ou de tokens d’accès. L’organisation a également introduit la vérification des appareils par e-mail lorsque 2FA n’a pas été activé.
Le plan actuel est de poursuivre un déploiement obligatoire de 2FA sur npm, en passant des 100 meilleurs packages aux 500, puis à ceux avec plus de 500 personnes à charge ou un million de téléchargements hebdomadaires. Les leçons tirées de ce banc d’essai seront ensuite appliquées à GitHub.
Source : ZDNet.com
