GitHub a décidé d’assouplir sa procédure de récupération des mots de passe en permettant de lier son compte Facebook. La méthode existante était parfois considérée comme trop stricte. Parallèlement, l'éditeur introduit les Topics, qui servent à créer des labels sur les dépôts.

Comme de très nombreux services, GitHub propose depuis un moment l'authentification à deux facteurs. Il peut arriver cependant que l’utilisateur ne soit plus en capacité de s’identifier sur le service, parce qu’il a changé de téléphone, a égaré sa clé U2F, ou a globalement perdu tout moyen de fournir le deuxième facteur d’authentification.

Dans ce cas, le compte est verrouillé et l’utilisateur doit passer par une procédure assez stricte. Il doit en effet prouver qu’il est bien le détenteur du compte en question pour que GitHub puisse désactiver sa protection. Le service réclame donc une adresse email précédemment confirmée, ainsi qu’une clé SSH privée, normalement en possession de l’utilisateur. Mais s’il ne l’a pas sous la main ou l’a également perdue, tout devient très complexe.

Stocker un jeton de sécurité dans le compte Facebook 

Depuis hier, il est cependant possible de lier son compte GitHub à Facebook. Pour ce faire, il faut se rendre dans les paramètres du compte, dans la zone Sécurité. De là, il est possible de créer un jeton de sécurité (chiffré en AES-GCM 256) qui sera alors stocké dans le compte Facebook, qu’il faudra bien entendu renseigner à cette occasion.

Une fois le jeton créé, on confirme son stockage dans le compte Facebook. Une fenêtre indique alors qu’enregistrer ainsi le jeton ne donne pas à Facebook la capacité d’accéder aux informations du compte GitHub. Il n’est question que d’aider l’utilisateur à faire vérifier son compte en cas d’échec de la double authentification.

En cas de blocage justement, GitHub indique qu’il faut alors procéder en deux étapes. Tout d’abord, contacter le support pour les informer de la situation. Ensuite, se rendre sur Facebook, dans les paramètres de sécurité, et utiliser la fonctionnalité Recover Accounts Elsewhere et démarrer la procédure de récupération du compte GitHub.

Un premier pas avant un rapprochement plus complet

L’éditeur indique que ce lien avec Facebook est probablement un premier pas, avant que d’autres soient mis en place. Il évoque ainsi la possibilité de stocker différentes informations chiffrées, comme les seeds TOTP, voire utiliser Facebook directement comme maillon de la double authentification. La récupération des comptes pourrait d’ailleurs fonctionner dans les deux sens, à l’avenir. Un rapprochement que GitHub envisage pour se passer définitivement des emails.

On notera bien sûr que la suppression des emails parait pour l’instant impossible, et ce pour une raison simple : tout le monde n’a pas un compte Facebook. Certains développeurs pourraient d’ailleurs ne pas apprécier ce rapprochement.

Topics : créer des labels thématiques pour les dépôts

Les Topics sont une nouvelle fonctionnalité liée aux dépôts. Ce sont des labels ou étiquettes que l’on peut apposer pour relier des dépôts via des thématiques communs, des sujets, etc. En ligne de mire, la capacité de découvrir d’autres projets, bien sûr.

Dans le cas du projet Atom pris en exemple par GitHub, on retrouve les étiquettes « atom, editor, electron, javascript, linux » et ainsi de suite. Chaque nom peut être cliqué, listant alors les projets qui utilisent le même Topic. L’idée est de permettre à l’utilisateur de voir d’autres projets qui seraient par exemple liés au JavaScript, ou aux éditeurs de code.

Les développeurs peuvent ajouter des Topics manuellement, ou en suivant les suggestions. Ces dernières sont basées sur l’apprentissage automatique et l’analyse du langage, selon ce qui est détecté dans le dépôt. GitHub indique d’ailleurs qu’accepter ou refuser les suggestions ne pourra qu’aider le service à s’améliorer.