À partir de mars 2023, GitHub exige de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à 2 facteurs (2FA). Si vous faisiez partie d'un groupe éligible, vous auriez reçu un courriel de notification lorsque ce groupe a été sélectionné pour l’inscription, marquant le début d’une période d’inscription 2FA de 45 jours, et vous auriez vu des bannières vous invitant à vous inscrire à 2FA sur GitHub.com. Si vous n'avez pas reçu de notification, vous ne faisiez pas partie d’un groupe requis pour activer 2FA, bien que nous le recommandons vivement.
À propos de l'éligibilité à l'A2F obligatoire
Votre compte est sélectionné pour l'A2F obligatoire si vous avez effectué une action sur GitHub qui montre que vous êtes un contributeur. Les actions admissibles comprennent les suivantes :
- Publier une application ou une action pour les autres
- Créer une publication (release) pour votre dépôt
- Contribuer à des dépôts d'importance élevée, tels que les projets suivis par la Open Source Security Foundation
- Être administrateur ou contributeur d'un dépôt d'importance élevée
- Être propriétaire d'une organisation contenant des dépôts ou d'autres utilisateurs
- Être administrateur ou contributeur de dépôts ayant publié un ou plusieurs packages
- Être administrateur d'entreprise
GitHub évalue continuellement les améliorations de nos fonctionnalités de sécurité des comptes et des exigences de l'A2F, de sorte que ces critères peuvent évoluer au fil du temps.
À propos de l'A2F obligatoire pour les organisations et les entreprises
L'A2F obligatoire est exigée par GitHub lui-même pour améliorer la sécurité des développeurs individuels et de l'écosystème de développement logiciel au sens large. Votre administrateur peut également exiger l'activation de l'A2F comme condition pour rejoindre son organisation ou entreprise, mais ces exigences sont distinctes de ce programme. Pour savoir quels utilisateurs ont activé l'A2F ou sont tenus de le faire, consultez Visualisation des personnes dans votre entreprise ou Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation.
L'éligibilité de votre compte à l'A2F obligatoire n'a aucun impact sur l'éligibilité des autres personnes. Par exemple, si vous êtes propriétaire d'une organisation et que votre compte est éligible à l'A2F obligatoire, cela n'affecte pas l'éligibilité des autres comptes au sein de votre organisation.
Remarque
Les utilisateurs de GitHub Enterprise Managed Users, ainsi que les utilisateurs sur site de GitHub Enterprise Server, ne sont pas tenus d'activer l'A2F. L'activation obligatoire de l'A2F ne s'applique qu'aux utilisateurs disposant d'un mot de passe sur GitHub.com.
À propos du non-respect de l'activation de l'A2F obligatoire
Si vous n'activez pas l'A2F dans le délai de configuration de 45 jours et que vous laissez expirer le délai de grâce de 7 jours, vous ne pourrez plus accéder à GitHub.com tant que vous n'aurez pas activé l'A2F. Si vous tentez d'accéder à GitHub.com, il vous sera demandé d'activer l'A2F.
Si vous n'activez pas l'A2F obligatoire, les jetons associés à votre compte continueront de fonctionner, car ils sont employés dans des automatisations critiques. Ces jetons comprennent les jetons OAuth et personal access tokens émis aux applications pour agir en votre nom. L'activation de l'A2F ne révoquera pas et ne modifiera pas le comportement des jetons émis pour votre compte. Cependant, les comptes verrouillés ne pourront pas autoriser de nouvelles applications ni créer de nouveaux PAT tant qu'ils n'auront pas activé l'A2F.
À propos des méthodes d'A2F requises
Nous recommandons de configurer une application de mot de passe à usage unique basé sur le temps (TOTP) comme méthode principale d'A2F, et d'ajouter une clé d'accès ou une clé de sécurité comme solution de secours. Si vous n'avez pas de clé d'accès ou de clé de sécurité, l'application GitHub Mobile est également une bonne option de secours. Le SMS est fiable dans la plupart des pays, mais comporte des risques de sécurité avec lesquels certains modèles de menace peuvent ne pas être compatibles.
Actuellement, nous ne prenons pas en charge les clés d'accès ou les clés de sécurité comme méthodes d'A2F principales, car elles sont faciles à perdre et ne prennent pas en charge la synchronisation sur une gamme suffisamment large d'appareils. À mesure que les clés d'accès seront plus largement adoptées et que la synchronisation deviendra plus répandue, nous les prendrons en charge comme méthode principale.
-
[À propos des applications TOTP et de l'A2F obligatoire](#about-totp-apps-and-mandatory-2fa) -
[À propos de l'authentification unique SAML et de l'A2F obligatoire](#about-saml-sso-and-mandatory-2fa) -
[À propos de la vérification par e-mail et de l'A2F obligatoire](#about-email-verification-and-mandatory-2fa)
Remarque
Nous vous recommandons de conserver les cookies sur GitHub.com. Si vous configurez votre navigateur pour effacer vos cookies chaque jour, vous n'aurez jamais d'appareil vérifié pour la récupération de compte, car le _device_idcookie est utilisé pour prouver de manière sécurisée que vous avez déjà utilisé cet appareil. Pour plus d'informations, consultez « Récupération de votre compte si vous perdez vos informations d’identification TFA ».
À propos des applications TOTP et de l'A2F obligatoire
Les applications TOTP constituent un facteur d'A2F recommandé pour GitHub. Pour plus d'informations sur la configuration d'applications TOTP, consultez Configuration de l’authentification à 2 facteurs.
Si vous ne souhaitez pas télécharger une application sur votre appareil mobile, il existe plusieurs options d'applications TOTP autonomes fonctionnant sur différentes plateformes. Pour les applications de bureau, nous recommandons KeePassXC, et pour les extensions de navigateur, nous recommandons 1Password.
Vous pouvez également configurer manuellement toute application générant un code compatible avec la RFC 6238. Pour en savoir plus sur la configuration manuelle d'une application TOTP, voir Configuration de l’authentification à 2 facteurs. Pour plus d'informations sur la RFC 6238, consultez TOTP: Time-Based One-Time Password Algorithm dans la documentation de l'IETF.
Remarque
Si vous utilisez FreeOTP pour l'A2F, vous pouvez voir un avertissement concernant des paramètres de chiffrement faibles. GitHub utilise un code 80 bits pour assurer la compatibilité avec les anciennes versions de Google Authenticator. 80 bits est inférieur aux 128 bits recommandés par la RFC HOTP, mais pour l'instant nous n'avons pas prévu de changer cela et recommandons d'ignorer ce message. Pour en savoir plus, consultez HOTP: An HMAC-Based One-Time Password Algorithm dans la documentation de l'IETF.
À propos de l'authentification unique SAML et de l'A2F obligatoire
Si vous avez été sélectionné pour l'A2F obligatoire, vous devez l'activer sur GitHub.com même si votre entreprise exige déjà l'authentification unique (SSO) via l'A2F. Bien que l'authentification SSO avec l'A2F soit une manière efficace de protéger les ressources appartenant à une organisation ou à une entreprise, elle ne protège pas le contenu appartenant à l'utilisateur sur GitHub.com et n'est pas lié à une organisation ou entreprise, ni le profil ou les paramètres d'un utilisateur.
GitHub ne vous demande d'activer l'A2F qu'à l'authentification initiale et pour des actions sensibles. Ainsi, même si vous devez réaliser l'A2F de votre entreprise chaque jour pour accéder à GitHub, vous aurez rarement à effectuer une deuxième A2F via GitHub. Pour en savoir plus sur les actions sensibles, consultez Mode sudo.
À propos de la vérification par e-mail et de l'A2F obligatoire
Lorsque vous vous connectez à GitHub.com, la vérification par e-mail ne compte pas comme étant une forme d'A2F. L'adresse e-mail de votre compte est utilisée pour les réinitialisations de mot de passe, qui constituent une forme de récupération de compte. Si un acteur malveillant obtient un accès à votre boîte de réception, il peut réinitialiser le mot de passe de votre compte et effectuer une vérification d'appareil par e-mail, réduisant la protection de votre compte à un seul facteur. Nous exigeons un second facteur pour éviter ce scénario. Il doit être distinct de votre boîte de réception. Lorsque vous activez l'A2F, nous ne procéderons plus à la vérification par e-mail lors de la connexion.
À propos des comptes de service et de l'A2F obligatoire
Les comptes d'accès non supervisés ou partagés dans votre organisation, tels que les bots et les comptes de service, sélectionnés pour l'A2F obligatoire, doivent activer l'A2F. L'activation de l'A2F ne révoquera pas et ne modifiera pas le comportement des jetons émis pour le compte de service. GitHub recommande de stocker de manière sécurisée le secret TOTP du compte de service dans un stockage de justificatifs partagé. Pour plus d'informations, consultez « Gestion des bots et des comptes de service avec l’authentification à 2 facteurs ».
À propos de la protection de vos données dans le cadre de l'A2F obligatoire
Si vous l'A2F est obligatoire pour vous, cela ne signifie pas que vous devez fournir votre numéro de téléphone à GitHub. Vous ne devez fournir votre numéro de téléphone que si vous utilisez l'A2F par SMS. Nous recommandons plutôt de configurer une application TOTP comme méthode principale d'A2F. Pour plus d'informations, consultez « Configuration de l’authentification à 2 facteurs ».
Remarque
Votre région peut ne pas apparaître dans les options SMS disponibles. Nous surveillons les taux de réussite d'envoi des SMS par région, et nous désactivons l'activation dans les régions où ces taux sont faibles. Si vous ne voyez pas votre région dans la liste, vous devez configurer une application TOTP à la place. Pour en savoir plus sur les régions prises en charge pour l'A2F par SMS, voir Pays où l’authentification par SMS est prise en charge.