GitHub supporte maintenant les clés de sécurité lors de l’utilisation de SSH

GitHub a ajouté un support pour sécuriser les opérations Git SSH à l’aide des clés de sécurité FIDO2 pour une protection supplémentaire contre les tentatives de prise de contrôle de compte.

Des chercheurs de la North Carolina State University (NCSU) ont découvert [PDF] il y a deux ans que plus de 100 000 référentiels GitHub ont divulgué des jetons d’API et des clés cryptographiques (SSH et TLS) après avoir scanné environ 13 % des dépôts publics de GitHub sur près de six mois.

Pire encore, ils ont également découvert que des milliers de nouveaux dépôts ont également fait fuiter des secrets tous les jours.

github

Avec la nouvelle fonctionnalité de GitHub, vous pouvez désormais utiliser des appareils FIDO2 portables pour l’authentification SSH afin de sécuriser les opérations Git et de prévenir l’exposition accidentelle de clés privées et les logiciels malveillants qui déclenchent des requêtes sans votre approbation.

« Une fois généré, vous ajoutez ces nouvelles clés à votre compte comme n’importe quelle autre clé SSH », a déclaré Kevin Jones, ingénieur en sécurité chez GitHub.

« Vous allez toujours créer une paire de clés publiques et privées, mais des bits secrets sont générés et stockés dans la clé de sécurité, avec la partie publique stockée sur votre machine comme n’importe quelle autre clé publique SSH. »

Bien qu’une clé privée soit stockée sur votre ordinateur, il ne s’agit que d’une référence à votre clé de sécurité physique qui est inutile sans avoir accès à l’appareil réel.

« Lorsque vous utilisez SSH avec une clé de sécurité, aucune des informations sensibles ne quitte jamais la clé de sécurité physique », a ajouté M. Jones. « Si vous êtes la seule personne ayant un accès physique à votre clé de sécurité, il est conseillé de la laisser branchée tout le temps. »

Pour accroître encore la résilience de votre compte GitHub contre les tentatives de prise de contrôle, vous devez remplacer toutes les clés SSH précédemment enregistrées par des clés SSH sauvegardées sur des clés de sécurité.

Cela garantit que vous êtes le seul capable de gérer les données Git de vos projets en utilisant SSH alors que votre clé de sécurité FIDO2 est sous votre contrôle.

L’utilisation de clés SSH sur des appareils FIDO2 signifie que vous n’aurez pas à vous souvenir de toutes les clés SSH que vous générez car elles sont inutiles sans accès à la clé de sécurité avec laquelle elles sont jumelées.

En outre, GitHub supprime automatiquement toutes les clés SSH inactives (inutilisées depuis plus d’un an) de votre compte, ce qui facilite la gestion des clés si vous travaillez sur plusieurs appareils ou si vous en avez perdu un.

github

Pour passer au nouveau flux de travail d’opérations SSH Git, vous devez vous connecter à votre compte GitHub, générer une nouvelle clé SSH pour une clé de sécurité matérielle, puis l’ajouter à votre compte.

GitHub a également annoncé en Décembre qu’il passerait à l’authentification basée sur les jetons à partir d’août 2021, lorsque les mots de passe de compte ne seront plus acceptés pour authentifier les opérations Git.

GitHub a également été l’un des premiers à passer à l’authentification Web (WebAuthn) pour les clés de sécurité de l’authentification à deux facteurs et un adopteur précoce de la norme d’authentification ouverte Universal 2nd Factor (U2F) de FIDO.

Vous pourriez aussi aimer
Laisser un commentaire