GitHub annonce de nouvelles améliorations en matière de sécurité et de récupération des mots de passe
août 2018 par Marc Jacob
Des identifiants d’authentification à haut niveau de sécurité sont
primordiaux pour prévenir des accès non-autorisés aux comptes des
utilisateurs. Sur GitHub, tout le monde a un mot de passe, donc un mot de passe
complexe est un très bon point de départ. Et, pour plus d’assurance, GitHub
encourage également ses utilisateurs à autoriser l’authentification a deux
facteurs (2FA). GitHub annonce aujourd’hui deux nouvelles fonctionnalités pour
aider la communauté à trouver le juste équilibre entre sécurité, facilité
d’utilisation et possibilité de récupération de leurs comptes.
La recommandation habituelle à la création d’un mot de passe est d’utiliser
un mot de passe long et unique pour chaque site internet demandant la création
d’un compte. Et c’est un véritable casse-tête de se souvenir de tous sans
utiliser une application de gestion de mots de passe : dans la majorité des cas
ce sont toujours les mêmes qui sont utilisés. Pourtant, sans même regarder à
la complexité d’un mot de passe, une simple faille de sécurité peut le
rendre inutile s’il est utilisé ailleurs.
Il y a quelques années, Troy Hunt, un chercheur en sécurité, concentra ses
recherches sur le problème de la compromission des mots de passe avec
HaveIBeenPwned.fr. Troy Hunt a ainsi lancé un service utilisable par tous sur
lequel chacun peut vérifier si son mot de passe a été compromis, il a
également généreusement rendu disponibles au téléchargement
approximativement 517 millions de jeux de données.
En utilisant ces données, GitHub a créé une version interne de ce service pour
pouvoir vérifier si le mot de passe d’un utilisateur a été découvert dans
n’importe quel set de données provenant d’une faille de sécurité.
Aujourd’hui, les utilisateurs utilisant des mots de passe corrompus vont
pouvoir sélectionner différents mots de passe à leur connexion ou à leur
inscription sur GitHub, mais également s’ils décident de changer de mot de
passe. Pas d’inquiétude, le mot de passe est protégé par l’algorithme de
hachage bcrypt directement dans la base de données de GitHub. La plateforme
vérifie uniquement si le mot de passe a été corrompu ou non.
L’authentification à deux-facteurs (2FA) et la meilleure manière de l’utiliser
L’utilisation de l’authentification à deux-facteurs est l’une des
meilleures manières de se protéger, même quand la complexité d’un mot de
passe ou sa sécurité sont faibles. Cependant, l’authentification à
deux-facteurs peut-être à double tranchant. En effet, bien qu’elle permette
d’assurer un accès à un facteur tel que le mot de passe ou l’adresse email
à laquelle le renouvellement du mot passe sera envoyé, ce n’est pas suffisant
pour accéder directement au compte souhaité. Perdre l’accès à
l’identification à double facteur peut faire perdre l’accès à un compte.
Si l’authentification à double-facteur est autorisée, GitHub peut désormais
rappeler aux utilisateurs de vérifier leurs réglages du 2FA ainsi que les
options de récupération. GitHub recommande d’utiliser une application de 2FA
qui supporte les sauvegardes dans le cloud au cas où le téléphone de
l’utilisateur serait perdu, volé ou bien tombé dans l’océan.
Ces nouveautés aideront à améliorer la sécurité pour tous les utilisateurs.
GitHub espère ainsi qu’ils profiteront de cette opportunité pour réviser la
sécurité de leur compte personnel :
Mettre à jour son mot de passe en suivant les règles d’unicité
d’utilisation et de longueur grâce à un gestionnaire de mots de passe.
Considérer l’utilisation d’un gestionnaire basé sur le cloud.
Utiliser l’authentification à deux-facteurs. L’application TOTP est plus
sécurisée que la récupération par SMS mais a plus de chance de mener
l’utilisateur à une perte de récupération et donc à un blocage de compte.
S’assurer d’avoir la possibilité de récupérer les accès au compte même
en cas de perte d’accès au support de 2FA. Avoir une clé U2F (Universal
Second Factor) est un plus en matière de sécurité au même titre que de
s’assurer que les codes de backup 2FA sont dans un endroit sécurisé tel
qu’un gestionnaire de mot de passe. GitHub recommande également de relier son
compte Facebook via Recover Accounts Elsewhere.
Mettre à jour son adresse email principale si nécessaire et déterminer si une
adresse email de secours est utile. Ces réglages permettront de déterminer
quelles adresses mail sont autorisées à récupérer un mot de passe.
Examiner les autres certificats GitHub. Alors que GitHub supprime les clés SSH,
les clés de déploiement, les autorisations OAuth, et les jetons d’accès
personnels qui n’ont pas été utilisés après plus d’un an, il est
toujours important de les vérifier manuellement de manière périodique.
Considérer s’inscrire aux notifications HaveIBennPwned. Aucun mot de passe
n’y est demandé.
Si les utilisateurs n’ont pas encore mis en place l’authentification à
deux-facteurs, il leur suffit d’aller dans les réglages de compte et de
cliquer sur « Security ».