Dans un effort pour sécuriser davantage les comptes des développeurs et le code hébergé sur sa plate-forme, GitHub a annoncé que ses utilisateurs devront s'inscrire à l'authentification à deux facteurs (2FA) d'ici la fin de l'année prochaine.
Plus précisément, toute personne qui contribue au code sur la plate-forme appartenant à Microsoft devra activer une ou plusieurs formes de 2FA.
Selon une nouvelle blog récents du directeur de la sécurité de GitHub, Mike Hanley, la chaîne d'approvisionnement logicielle commence par les développeurs et les comptes de développeurs sont fréquemment ciblés par l'ingénierie sociale et la prise de contrôle de compte. En protégeant les développeurs de ces types d'attaques, l'entreprise franchit la première et la plus importante étape vers la sécurisation de la chaîne d'approvisionnement logicielle.
À l'avenir, GitHub prévoit d'explorer de nouvelles façons d'authentifier ses utilisateurs en toute sécurité, y compris l'authentification sans mot de passe. En fait, l'année dernière, la société a ajouté la possibilité d'utiliser des clés de sécurité pour l'authentification dans le cadre de ses efforts pour évoluer vers un avenir sans mot de passe.
Sécuriser la chaîne d'approvisionnement des logiciels
En novembre de l'année dernière, GitHub s'est engagé à de nouveaux investissements dans la sécurité des comptes npm suite à des prises de contrôle de packages npm résultant de comptes de développeurs sans 2FA activé qui avaient été compromis.
Bien que les vulnérabilités zero-day suscitent beaucoup d'attention en ligne, les attaques à moindre coût telles que l'ingénierie sociale, le vol d'informations d'identification ou les fuites de données sont en fait responsables de la plupart des failles de sécurité.
Les comptes compromis sur GitHub peuvent être utilisés pour voler du code privé ou même pour apporter des modifications malveillantes à ce code. Malheureusement, non seulement les individus et leurs organisations associés à ces comptes compromis sont à risque, mais également tous les utilisateurs du code concerné.
La meilleure défense contre les comptes d'utilisateurs compromis est d'aller au-delà de l'authentification de base basée sur un mot de passe. Cependant, seuls 16.5 % de tous les utilisateurs actifs de GitHub aujourd'hui et 6.44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2FA.
Les utilisateurs de GitHub ont beaucoup de temps pour se préparer à ce changement et la société a récemment lancé 2FA pour GitHub mobile sur iOS et Android. Les personnes intéressées à apprendre à configurer GitHub Mobile 2FA peuvent consulter ce document d'assistance pour commencer.