Face aux menaces pesant sur la supply chain logicielle, le repository renforce la sécurité des comptes de ses utilisateurs en les obligeant à recourir à l’authentification multi-facteurs. Une mesure qui ne sera pas appliquée immédiatement : le MFA deviendra obligatoire fin 2023.
Compromettre une application dès l’élaboration de son code, voilà le b.a.-ba de tout cyberméchant efficace. Github ne s’y trompe pas. « Les comptes de développeur sont des cibles fréquentes pour l'ingénierie sociale et la compromission de compte, et la protection des développeurs contre ces types d'attaques est la première et la plus importante étape vers la sécurisation de la chaîne d'approvisionnement » écrit le repository propriété de Microsoft.
« Cela expose non seulement les individus et les organisations associés aux comptes compromis, mais également tous les utilisateurs du code concerné. Le potentiel d'impact en aval sur l'écosystème logiciel plus large et la chaîne d'approvisionnement en conséquence est substantiel » poursuit Github. C’est pour cette raison que l’entreprise exigera que tous les utilisateurs qui contribuent au code sur github.com activent une ou plusieurs formes d'authentification à deux facteurs.
Rien ne presse
Mais pas tout de suite : l’obligation ne prendra effet que fin de 2023, puisque Github ne souhaite pas que la sécurisation du code se fasse « au détriment d'une excellente expérience pour les développeurs ». Pour autant, l’entreprise ne restera pas inactive jusqu’à cette date. En effet, depuis février, les développeurs des 100 meilleurs packages du registre npm, racheté par Github sont soumis à cette obligation de double facteur.
Au 31 mai, ce seront les utilisateurs des 500 packages npm les plus populaires qui seront concernés. « Nous tirerons parti de ce que nous apprendrons en exigeant le 2FA sur npm et appliquerons ces leçons à nos efforts sur GitHub.com » écrit l’entreprise. A l’heure actuelle, seuls 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent une ou plusieurs formes de 2FA.