En mai dernier, GitHub avait prévenu dans un billet de blog : l’authentification à deux facteurs allait devenir obligatoire. On savait également que cette bascule entrerait en vigueur le 13 mars, donc aujourd’hui.
Objectif pour GitHub, en finir avec les 16,5 % seulement de développeurs qui avaient activé l’option (en mai 2022). Le déploiement va cependant se faire par phases, en commençant par les comptes les plus concernés par des problématiques de sensibilité, comme les entreprises et membres d’organisations, les contributeurs sur des dépôts critiques, etc.
Tous les comptes concernés ont normalement reçu des mails depuis les 45 derniers jours pour les prévenir du changement. À compter d’aujourd’hui, le site affichera constamment des rappels. Si d’ici sept jours, ils n’ont toujours pas activé la double authentification, de nombreuses fonctions deviendront inaccessibles.
Au cours de l’année, tous les comptes existants seront graduellement passés à la moulinette. Il est bien sûr recommandé d’activer dès maintenant le second facteur pour éviter une interruption plus tard.
Commentaires (24)
#1
Ah enfin on abandonne le SMS. Marre de filer des n° de téléphone à tout le monde
#2
Je n’ai rien reçu dans les 45 derniers jours.
Mais mon compte n’est peut-être pas considéré comme un compte développeur, je poste juste des issues.
#2.1
pareil, pourtant j’ai quelques repo / forks et fait pas mal de PR…
les 2 pour moi:
#2.2
Pour le premier point perso je passe par KeepassXC. Le brouteur ne retient rien, c’est KeepassXC qui renseigne les passwords et génère le TOTP. L’add-on navigateur fait l’auto saisie sans soucis.
En dehors de services que j’estime plus critique où là le TOTP est sur le portable.
Pour le second point, c’est un cas d’usage très exceptionnel, perso je suis juste à un alias par service.
#3
Ça veut dire qu’il faudra donner un code TOTP à chaque “git push” ? Ou ça ne concerne que le site web ?
#4
Quand tu fais un
git pushtu as généralement une clé SSH ou au moins tu t’es connecté une fois en HTTPS, pas besoin de le refaire ensuite.Mais si tu clone un dépot pour la première fois, en HTTPS, tu auras sans doute besoin de fournir ce code oui.
#5
De ce que j’ai vu sur le site la seule autre solution c’est le TOTP. Ca n’existe pas les app TOTP pour linux en cmdline ? Je suis pas fan du tout de devoir lier mon tel à mes comptes en ligne… déjà que c’est +/- obligatoire pour les banques pour les confirmations d’achats (le problème ici étant la qualité très médiocre des apps en question, avec manifestement une incompréhension du principe des permissions)
#5.1
Si tu as keepassxc, il suffit d’ajouter le TOTP (en cliquant droit sur l’entrée, puis TOTP > configurer TOTP).
Et si tu veux absolument de la ligne de command, keepassxc en a aussi pour le TOTP, et source officielle ici
#5.2
Salut,
Tu as oathtool https://manpages.ubuntu.com/manpages/trusty/man1/oathtool.1.html
#5.3
Merci a ts les 2 je vais regarder ca !!
#6
C’est fait a l’instant, merci pour l’info.
#7
L’utilisation du SMS n’était pas obligatoire, les autres méthodes étaient aussi possible, je ne comprends pas pourquoi tu as du filer des n° de téléphone.
Ou alors tu ne parlais pas de GitHub, et dans ce cas cette décision de GitHub ne te changera rien.
#8
Non, mais générer un mot de passe d’application, oui.
#9
Oui, je parlais de l’abandon du SMS comme méthode recommandée par le NIST.
Ce qui logiquement “devrait” (avec des grands guillemets) pousser tous les sites web a arrêter le forcing pour le SMS.
#10
dommage, la double authentification me donne des flatulences. Ca vas etre une bonne raison pour passer sur gitlab ( à moins qu’ils fassent pareil?).
#10.1
Pourquoi ?
Le MFA est l’une des rares méthodes grands publiques qui peut augmenter drastiquement la sécurité, à tel point que même les agences officielles poussent à son utilisation globale :
#10.2
Pour quelle raison ? Inconfort d’utilisation ? Pertinence ?
Perso c’est plutôt l’inverse, j’utilise le TOTP systématiquement vu comment tous les profils d’accès se font tabasser par des bots.
#10.3
1)ca fonctionne une fois sur deux. Si c’est par mail (avec lien cliquable) , ca n’arrive jamais.Par téléphone, c’est hyper pénible, comment fais t on si plusieurs personnes partage le compte? et il y a encore les admins paranoïaque qui bloque l’appli sur tel quand il est routé. Et je fais comment si j’ai pas android/ios, on est pas déjà suffisamment dépendant des GAFAM pour que les indép qui reste en rajoute une couche?
#10.4
Le MFA par mail est à la limite du non-sens de mon point de vue dans la mesure où c’est aussi un vecteur d’attaque permettant de réinitialiser le password si compromis, je ne le considère pas comme du MFA. C’est relativement rare je trouve (à part SNCF je n’ai pas de souvenir immédiat de qui m’en a fait, en dehors des services où je me connecte rarement qui envoient une confirmation).
Concernant la dépendance aux entreprises de la Tech, tu peux la limiter fortement comme c’est mon cas. KeepassXC gère les entrées TOTP et est agnostique de toute entreprise. Pareil sur smartphone, il existe des générateurs de TOTP qui sont indépendants de Google, Apple ou Microsoft. A titre purement personnel, j’ai le Microsoft Authenticator uniquement parce que le MFA est actif sur les souscriptions Azure des clients pour qui je bosse. Sinon à aucun moment il ne me serait nécessaire.
Je rebondis par contre sur la pratique du partage de compte : c’est un antipattern niveau sécurité, donc complètement hors sujet. Cela dit, certains services peuvent accepter de déclarer plusieurs générateurs TOTP, mais de mon expérience c’est très rare.
Pour le dernier point, c’est à ta discrétion, mais une fuite de données ça arrive vite et j’espère que tu as à minima comme pratique d’utiliser des secrets différents par service.
#11
Le MFA n’est pas la réponse à “mon mot de passe / mail est introuvable donc je suis tranquille”, mais “mon mail / mot de passe peut être contourné, qu’importe sa complexité”. Croire qu’on est à l’abri parce qu’on a un super mot de passe aléatoire généré sur 64 caractères, c’est une illusion.
Il y a tout un ensemble d’attaque qui peuvent récupérer/bypasser ces informations (pass-the-hash, par exemple).
Pour un service aussi critique que GitHub, le MFA est à la base de la protection de soi, de son organisation et des autres : https://en.wikipedia.org/wiki/Supply_chain_attack (on se rappellera de SolarWind en particulier)
#12
Je ne supporte pas le MFA pour deux raisons :
On externalise l’impératif de sécurité sur l’usager, cela alors que le plus gros des fuites vient des services eux-même. Je crains donc que le MFA finisse par permettre à ces derniers de diminuer encore davantage leur budget sécurité car au pire le MFA évitera le désastre total (selon ce que le service a mis en place).
On n’a parfois pas beaucoup de choix en MFA. Je suis ouvert au TOTP et ça semble être le cas de Github ici, mais parfois ce n’est pas aisément accéssible. Pour Minecraft, la migration obligatoire vers un Compte Microsoft me posait problème car ce dernier demande un numéro de téléphone pour envoyer un SMS et après coup il est possible de passer en TOTP, mais seulement après. J’ai pu contourner le problème mais ce n’est pas le cas partout.
Tant qu’il n’y aura pas une forme de « bonnes pratiques » imposant plusieurs types de MFA à tous les services (et qu’on me LÂCHE avec mon numéro de téléphone), j’aurai du mal à voir le forçing vers le MFA être bénéfique. Je le considère comme une gène sinon comme un moyen pour eux de se déresponsabiliser.
#13
Mauvais exemple, NTLM est un mauvais système d’authentification.
#14
Pas d’accord, les comptes utilisateurs compromis s’achètent quelques centimes sur le DWeb, là où les fuites demandent généralement beaucoup plus de temps / travail / chance.
Perso, un site/service sans MFA avec usage de données critiques (identité, paiement …), je fuis ça comme la peste, ça sent le truc pas très sérieux pour qui la sécurité n’existe pas.
Oui, pour toi dans l’IT, le TOTP te va très bien, mais pour les autres c’est un truc incompréhensible. Un QR Code, des codes à sauvegarder (ou ça ?), un truc qui change alors qu’ils sont en train de le tapper à l’écran… Il faut bien commencer par étapes pour embarquer tout le monde.
Vu la gestion des adresses mails et mots de passe des gens “normaux”, le seul autre truc qu’ils ont et qui ne devrait pas trop changer ou se faire compromettre aisément, c’est leur numéro de téléphone (et encore). Ce n’est pas pour rien que MS/Google/Blizzard pour ne citer qu’eux ont leurs propres applis d’authentification, pour essayer de rendre le déploiement plus aisé.
Un jour, il faudra arrêter avec ce mythe de “ouin ouin ils veulent mon numéro de téléphone”, c’est lassant à force.
C’est toi qui interprètes ça d’une façon qui te permet de te déresponsabiliser, pas l’inverse. Les solutions grand public sont faites pour … le grand public, qui part définition n’a aucune compétence spéciale et rigueur dans aucun domaine.
#15
Et une fois que ces fuites ont lieu, on a à disposition des milliers voir millions de comptes dans la nature, au point que des compilations gigantesques de milliards d’adresses existent avec souvent le mot de passe fourni avec.
Pas étonnant dès lors que ça ne coûte presque rien maintenant d’en acheter quelques uns.
Le problème, ce sont les services. Il est bien plus long d’en attaquer un mais bien plus rentable quand on y parvient que de s’acharner sur un seul usager par ci par là.
Qu’est-ce qui empêche de mettre plusieurs choix avec une explication ?
Je croirai lire un UX designer en train de me faire de l’urticaire à l’idée de mettre un bouton “Réglages avancés” dans son logiciel en supplément des réglages basiques, en prétextant que les usagers n’y comprendront rien.
Oui c’est un mythe, c’est pourquoi ils le demandent
Chez Microsoft, cette obsession pour ce mythe n’existe pas, ils ne sont pas connus pour faire limite du dark design pour l’obtenir 
et j’ai perdu 5 Comptes Microsoft par refus de donner un numéro de téléphone.
La déresponsabilisation est une constante chez les entreprises, car en cas de souci elle offre le moyen de se défausser chez le prestataire (vive les procès pour compensation) ou chez l’usager (par les conditions générales), et cela permet au passage de faire des économies.