À partir de mars 2023 et jusqu’à la fin de l’année 2023, GitHub commencera progressivement à exiger de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à 2 facteurs (2FA). Si vous êtes dans un groupe éligible, vous recevrez un e-mail de notification lorsque ce groupe est sélectionné pour l’inscription, marquant le début d’une période d’inscription 2FA de 45 jours. Des bannières s’affichent vous demandant de vous inscrire à 2FA sur GitHub.com. Si vous ne recevez pas de notification, vous ne faites pas partie d’un groupe requis pour activer 2FA, bien que nous le recommandons vivement.
Informations sur l’éligibilité pour le 2FA obligatoire
Votre compte est sélectionné pour le 2FA obligatoire si vous avez effectué une action sur GitHub Enterprise Cloud qui indique que vous êtes un contributeur. Les actions éligibles sont les suivantes :
- Publication d’une application ou d’une action pour d’autres utilisateurs.
- Création d’une version pour votre référentiel.
- Contribution à des référentiels spécifiques d’importance élevée, tels que les projets suivis par Open Source Security Foundation.
- Être administrateur d’un référentiel d’importance élevée.
- Être un propriétaire d'organisation pour une organisation disposant de référentiels ou d’autres utilisateurs.
- Être un administrateur de l’entreprise.
GitHub évalue continuellement les améliorations apportées à nos fonctionnalités de sécurité de compte et aux exigences relatives au 2FA. Ces critères peuvent donc changer au fil du temps.
Remarque : Si votre compte a un coupon d’éducation actif, il est exempté du 2FA obligatoire.
Informations sur le 2FA obligatoire pour les organisations et les entreprises
L’authentification 2FA obligatoire est requise par GitHub elle-même pour améliorer la sécurité des développeurs individuels et de l’écosystème de développement logiciel plus large. Votre administrateur peut également exiger l’activation du 2FA comme exigence pour rejoindre son organisation ou son entreprise, mais ces exigences sont distinctes de ce programme. Pour rechercher les utilisateurs qui ont activé l’authentification à deux facteurs (2FA) ou doivent le faire, consultez « Visualisation des personnes dans votre entreprise » ou « Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation ».
L’éligibilité de votre compte pour le 2FA obligatoire n’a pas d’impact sur l’éligibilité d’autres personnes. Par exemple, si vous êtes un propriétaire d’organisation et que votre compte est éligible au 2FA obligatoire, cela n’affecte pas l’éligibilité d’autres comptes au sein de votre organisation.
Note : GitHub Enterprise Managed Users et les utilisateurs sur site GitHub Enterprise Server ne sont pas obligés d’activer le 2FA. L’activation obligatoire du 2FA s’applique uniquement aux utilisateurs disposant d’un mot de passe sur GitHub.com.
Informations sur l’échec d’activation du 2FA obligatoire
Si vous n’activez pas le 2FA au cours de la période de configuration de 45 jours et que vous autorisez la période de grâce de 7 jours à expirer, vous ne pourrez pas accéder à GitHub.com tant que vous n’activez pas le 2FA. Si vous tentez d’accéder à GitHub.com, vous devrez activer le 2FA.
Si vous ne parvenez pas à activer le 2FA obligatoire, les jetons appartenant à votre compte continueront de fonctionner, car ils sont utilisés dans l’automatisation critique. Ces jetons incluent personal access tokens et les jetons OAuth émis vers des applications pour agir en votre nom. L’activation du 2FA ne révoque pas ou ne modifie pas le comportement des jetons émis pour votre compte. Toutefois, les comptes verrouillés ne pourront pas autoriser de nouvelles applications ou créer de nouvelles PAT tant qu’ils n’auront pas activé le 2FA.
Informations sur les méthodes de 2FA requises
Nous vous recommandons de configurer une application de mot de passe à usage unique et durée définie (TOTP) en comme méthode 2FA principale et d’ajouter une clé d’accès ou de sécurité en tant que sauvegarde. Si vous n’avez pas de clé d’accès ou de sécurité, l’application GitHub Mobile est également une bonne option de sauvegarde. Le SMS est fiable dans la plupart des pays, mais il présente des risques de sécurité que certains modèles de risque ne peuvent pas gérer.
Actuellement, nous ne prenons pas en charge les clés d’accès ou les clés de sécurité en tant que méthodes 2FA principales, car elles sont faciles à perdre et ne prennent pas en charge la synchronisation sur un large éventail d’appareils. Étant donné que les clés d’accès sont plus largement adoptées et que la prise en charge de la synchronisation est plus répandue, nous les prenons en charge comme méthode principale.
- Informations sur les applications TOTP et le 2FA obligatoire
- Informations sur l’authentification unique SAML et le 2FA obligatoire
- Informations sur la vérification par e-mail et l’2FA obligatoire
Remarque : nous vous recommandons de conserver les cookies sur GitHub.com. Si vous paramétrez votre navigateur de manière à ce qu’il réinitialise vos cookies tous les jours, ne disposerez jamais d’un appareil vérifié à des fins de récupération de compte, car le _device_id cookie est utilisé pour prouver en toute sécurité que vous avez déjà utilisé cet appareil. Pour plus d’informations, consultez « Récupération de votre compte si vous perdez vos informations d’identification TFA ».
Informations sur les applications TOTP et le 2FA obligatoire
Les applications TOTP constituent le facteur 2FA recommandé pour GitHub. Pour plus d’informations sur la configuration des applications TOTP, consultez « Configuration de l’authentification à 2 facteurs ».
Si vous ne souhaitez pas télécharger une application sur votre appareil mobile, il existe plusieurs options pour les applications TOTP autonomes fonctionnant sur diverses plateformes. Pour les applications de bureau, nous vous recommandons KeePassXC, tandis que nous vous recommandons 1Password pour les plug-ins basés sur un navigateur.
Vous pouvez également configurer manuellement n’importe quelle application qui génère un code compatible avec RFC 6238. Pour plus d’informations sur la configuration manuelle d’une application TOTP, consultez «Configuration de l’authentification à 2 facteurs ». Pour plus d’informations sur RFC 6238, consultez TOTP : Algorithme de mot de passe à usage unique et durée définie dans la documentation IETF.
Remarque : Si vous utilisez FreeOTP pour 2FA, vous pouvez recevoir un avertissement concernant la faiblesse des paramètres cryptographiques. GitHub utilise un secret de 80 bits pour garantir la compatibilité avec les versions antérieures de Google Authenticator. 80 bits sont inférieurs aux 128 bits recommandés par le RFC HOTP. Mais à ce stade, nous n’avons pas de plans de modification et nous vous recommandons d’ignorer ce message. Pour plus d’informations, consultez HOTP : Algorithme de mot de passe à usage unique basé sur HMAC dans la documentation IETF.
Informations sur l’authentification unique SAML et le 2FA obligatoire
Si vous avez été sélectionné pour le 2FA obligatoire, vous devez vous inscrire au 2FA sur GitHub.com même si votre entreprise exige déjà une authentification unique (SSO) au moyen du 2FA. Bien que le SSO avec 2FA soit un moyen efficace de protéger les ressources appartenant à l’organisation ou à l’entreprise, il ne protège pas le contenu appartenant à l’utilisateur sur GitHub.com sans rapport avec une organisation ou une entreprise, ni le profil et les paramètres d’un utilisateur.
GitHub n’exige que l’authentification 2FA lors de l’authentification initiale et pour des actions sensibles. Ainsi, même si vous devez effectuer l’authentification 2FA d’entreprise tous les jours pour accéder à GitHub, vous devrez rarement effectuer l’authentification 2FA une deuxième fois via GitHub. Pour plus d’informations sur les actions sensibles, consultez « Mode sudo ».
Informations sur la vérification par e-mail et l’2FA obligatoire
Lorsque vous vous connectez à GitHub.com, la vérification de l’e-mail ne compte pas comme étant du 2FA. L’adresse e-mail de votre compte est utilisée pour les réinitialisations de mot de passe, ce qui constitue une forme de récupération de compte. Si un pirate a accès à votre boîte de réception, il peut réinitialiser le mot de passe de votre compte et passer le contrôle de vérification de l’appareil de messagerie, réduisant ainsi la protection de votre compte à un seul facteur. Nous avons donc besoin d’un deuxième facteur pour empêcher ce scénario, et ce deuxième facteur doit être distinct de votre boîte de réception. Lorsque vous activez 2FA, nous n’effectuerons plus de vérification par e-mail lors de la connexion.
À propos des comptes de service et du 2FA obligatoire
Les comptes d’accès sans assistance ou partagés de votre organisation, tels que les bots et les comptes de service, sélectionnés pour l’authentification à deux facteurs obligatoire, doivent s’inscrire à 2FA. L’activation du 2FA ne révoque pas ou ne modifie pas le comportement des jetons émis pour le compte de service. GitHub recommande de stocker en toute sécurité le secret TOTP du compte de service dans le stockage d’informations d’identification partagées. Pour plus d’informations, consultez « Gestion des bots et des comptes de service avec l’authentification à 2 facteurs ».
Informations sur votre confidentialité avec le 2FA obligatoire
Si vous avez été sélectionné pour le 2FA obligatoire, cela ne signifie pas que vous devez fournir GitHub avec votre numéro de téléphone. Vous devez uniquement fournir votre numéro de téléphone si vous utilisez SMS pour l’authentification 2FA. Au lieu de cela, nous vous recommandons de configurer une application TOTP comme méthode 2FA principale. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs ».
Remarque : Votre région peut ne pas être répertoriée dans les options SMS disponibles. Nous contrôlons les taux de réussite de la distribution des SMS par région et nous interdisons l’installation pour les régions qui ont de mauvais taux de distribution. Si votre région ne figure pas sur la liste, vous devez configurer une application TOTP. Pour plus d’informations sur les régions prises en charge pour les SMS, consultez «Pays où l’authentification par SMS est prise en charge ».