Skip to main content

Prévention des accès non autorisés

Vous pouvez être alerté de la survenue d’un incident de sécurité dans le média, avec par exemple la découverte du bogue Heartbleed. De même, votre ordinateur a pu vous avoir été volé alors que vous étiez connecté à GitHub.com. En pareils cas, le changement de mot de passe peut empêcher tout futur accès indésirable à votre compte et à vos projets.

GitHub exige l’entrée d’un mot de passe pour effectuer des actions sensibles comme l’ajout de nouvelles clés SSH, l’autorisation d’applications ou la modification de membres d’équipe.

Après avoir modifié votre mot de passe, vous devez effectuer les actions suivantes pour vérifier que votre compte est sécurisé :

  • Activez l’authentification à 2 facteurs sur votre compte pour que l’accès nécessite plus qu’un mot de passe. Pour plus d’informations, consultez « À propos de l’authentification à deux facteurs ».

  • Ajoutez une clé d’accès à votre compte pour activer une connexion sécurisée sans mot de passe. Les clés d’accès sont résistantes au hameçonnage et ne nécessitent pas de mémorisation ni de gestion active. Pour plus d’informations, consultez « À propos des clés d’accès » et « Gestion de vos clés d'accès ».

  • Passez en revue vos clés SSH, déployez des clés et des intégrations autorisées et révoquez tout accès non autorisé ou inconnu dans vos paramètres SSH et d’applications. Pour plus d’informations, consultez « Examen de vos clés SSH », « Examen de vos clés de déploiement » et « Examen et révocation de l’autorisation donnée aux applications GitHub ».

  • Vérifiez toutes vos adresses e-mail. Si un attaquant a ajouté son adresse e-mail à votre compte, il peut les autoriser pour forcer une réinitialisation de mot de passe non souhaitée. Pour plus d’informations, consultez « Vérification de votre adresse e-mail ».

  • Passez en revue le journal de sécurité de votre compte. Il offre une vue d’ensemble des différentes configurations effectuées sur vos dépôts. Par exemple, vous pouvez vérifier qu’aucun dépôt privé n’a été rendu public et qu’aucun dépôt n’a été transféré. Pour plus d’informations, consultez « Examen de votre journal de sécurité ».

  • Passez en revue les webhooks sur vos dépôts. Les webhooks peuvent permettre à un attaquant d’intercepter les poussées (push) effectuées sur votre dépôt. Pour plus d’informations, consultez « À propos des webhooks ».

  • Vérifiez qu’aucune clé de déploiement n’a été créée. Ceci pourrait permettre à des serveurs externes d’accéder à vos projets. Pour plus d’informations, consultez « Gestion des clés de déploiement ».

  • Passez en revue les commits récents effectués sur vos dépôts.

  • Passez en revue la liste des collaborateurs pour chaque dépôt.