in Sécurité

GitHub annonce de nouvelles améliorations en matière de sécurité et de récupération des mots de passe

Des identifiants d’authentification à haut niveau de sécurité sont primordiaux pour prévenir des accès non-autorisés aux comptes des utilisateurs. Sur GitHub, tout le monde a un mot de passe, donc un mot de passe complexe est un très bon point de départ. Et, pour plus d’assurance, GitHub encourage également ses utilisateurs à autoriser l’authentification a deux facteurs (2FA). GitHub annonce aujourd’hui deux nouvelles fonctionnalités pour aider la communauté à trouver le juste équilibre entre sécurité, facilité d’utilisation et possibilité de récupération de leurs comptes.

Imposer des mots de passe plus forts

La recommandation habituelle à la création d’un mot de passe est d’utiliser un mot de passe long et unique pour chaque site internet demandant la création d’un compte. Et c’est un véritable casse-tête de se souvenir de tous sans utiliser une application de gestion de mots de passe : dans la majorité des cas ce sont toujours les mêmes qui sont utilisés. Pourtant, sans même regarder à la complexité d’un mot de passe, une simple faille de sécurité peut le rendre inutile s’il est utilisé ailleurs.
Il y a quelques années, Troy Hunt, un chercheur en sécurité, concentra ses recherches sur le problème de la compromission des mots de passe avec HaveIBeenPwned.fr. Troy Hunt a ainsi lancé un service utilisable par tous sur lequel chacun peut vérifier si son mot de passe a été compromis, il a également généreusement rendu disponibles au téléchargement approximativement 517 millions de jeux de données.
En utilisant ces données, GitHub a créé une version interne de ce service pour pouvoir vérifier si le mot de passe d’un utilisateur a été découvert dans n’importe quel set de données provenant d’une faille de sécurité.
Aujourd’hui, les utilisateurs utilisant des mots de passe corrompus vont pouvoir sélectionner différents mots de passe à leur connexion ou à leur inscription sur GitHub, mais également s’ils décident de changer de mot de passe. Pas d’inquiétude, le mot de passe est protégé par l’algorithme de hachage bcrypt directement dans la base de données de GitHub. La plateforme vérifie uniquement si le mot de passe a été corrompu ou non.

L’authentification à deux-facteurs (2FA) et la meilleure manière de l’utiliser

L’utilisation de l’authentification à deux-facteurs est l’une des meilleures manières de se protéger, même quand la complexité d’un mot de passe ou sa sécurité sont faibles. Cependant, l’authentification à deux-facteurs peut-être à double tranchant. En effet, bien qu’elle permette d’assurer un accès à un facteur tel que le mot de passe ou l’adresse email à laquelle le renouvellement du mot passe sera envoyé, ce n’est pas suffisant pour accéder directement au compte souhaité. Perdre l’accès à l’identification à double facteur peut faire perdre l’accès à un compte.

Si l’authentification à double-facteur est autorisée, GitHub peut désormais rappeler aux utilisateurs de vérifier leurs réglages du 2FA ainsi que les options de récupération. GitHub recommande d’utiliser une application de 2FA qui supporte les sauvegardes dans le cloud au cas où le téléphone de l’utilisateur serait perdu, volé ou bien tombé dans l’océan.
Ces nouveautés aideront à améliorer la sécurité pour tous les utilisateurs. GitHub espère ainsi qu’ils profiteront de cette opportunité pour réviser la sécurité de leur compte personnel :

  1. Mettre à jour son mot de passe en suivant les règles d’unicité d’utilisation et de longueur grâce à un gestionnaire de mots de passe. Considérer l’utilisation d’un gestionnaire basé sur le cloud.
  2. Utiliser l’authentification à deux-facteurs. L’application TOTP est plus sécurisée que la récupération par SMS mais a plus de chance de mener l’utilisateur à une perte de récupération et donc à un blocage de compte.
  3. S’assurer d’avoir la possibilité de récupérer les accès au compte même en cas de perte d’accès au support de 2FA. Avoir une clé U2F (Universal Second Factor) est un plus en matière de sécurité au même titre que de s’assurer que les codes de backup 2FA sont dans un endroit sécurisé tel qu’un gestionnaire de mot de passe. GitHub recommande également de relier son compte Facebook via Recover Accounts Elsewhere.
  4. Mettre à jour son adresse email principale si nécessaire et déterminer si une adresse email de secours est utile. Ces réglages permettront de déterminer quelles adresses mail sont autorisées à récupérer un mot de passe.
  5. Examiner les autres certificats GitHub. Alors que GitHub supprime les clés SSH, les clés de déploiement, les autorisations OAuth, et les jetons d’accès personnels qui n’ont pas été utilisés après plus d’un an, il est toujours important de les vérifier manuellement de manière périodique.
  6. Considérer s’inscrire aux notifications HaveIBennPwned. Aucun mot de passe n’y est demandé.
Si les utilisateurs n’ont pas encore mis en place l’authentification à deux-facteurs, il leur suffit d’aller dans les réglages de compte et de cliquer sur « Security ».
Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.