À partir de mars 2023, GitHub exige de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à 2 facteurs (2FA). Si vous faisiez partie d'un groupe éligible, vous auriez reçu un courriel de notification lorsque ce groupe a été sélectionné pour l’inscription, marquant le début d’une période d’inscription 2FA de 45 jours, et vous auriez vu des bannières vous invitant à vous inscrire à 2FA sur GitHub.com. Si vous n'avez pas reçu de notification, vous ne faisiez pas partie d’un groupe requis pour activer 2FA, bien que nous le recommandons vivement.
À propos de l'éligibilité à l'A2F obligatoire
Votre compte est sélectionné pour l'2FA obligatoire si vous avez effectué une action indiquant GitHub que vous êtes contributeur. Les actions admissibles comprennent les suivantes :
-
Publier une application ou une action pour les autres
-
Créer une publication (release) pour votre dépôt
-
Contribuer à des dépôts d'importance élevée, tels que les projets suivis par la Open Source Security Foundation
-
Être administrateur ou contributeur d'un dépôt d'importance élevée
-
Être propriétaire d'une organisation contenant des dépôts ou d'autres utilisateurs
-
Être administrateur ou contributeur de dépôts ayant publié un ou plusieurs packages
-
Être administrateur d'entreprise
GitHub évalue continuellement les améliorations apportées à nos fonctionnalités de sécurité de compte et aux exigences 2FA, de sorte que ces critères peuvent changer au fil du temps.
À propos de l'A2F obligatoire pour les organisations et les entreprises
L’authentification 2FA obligatoire est requise par GitHub elle-même pour améliorer la sécurité des développeurs individuels et de l’écosystème de développement logiciel plus large. Votre administrateur peut également exiger l'activation de l'A2F comme condition pour rejoindre son organisation ou entreprise, mais ces exigences sont distinctes de ce programme. Pour savoir quels utilisateurs ont activé l'A2F ou sont tenus de le faire, consultez Affichage des personnes dans votre entreprise ou Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation.
L'éligibilité de votre compte à l'A2F obligatoire n'a aucun impact sur l'éligibilité des autres personnes. Par exemple, si vous êtes propriétaire d'une organisation et que votre compte est éligible à l'A2F obligatoire, cela n'affecte pas l'éligibilité des autres comptes au sein de votre organisation.
Remarque
GitHub
Enterprise Managed Users et les utilisateurs locaux GitHub Enterprise Server ne sont **pas** tenus d’activer 2FA. L'activation obligatoire de l'authentification à deux facteurs ne s'applique qu'aux utilisateurs ayant un mot de passe sur GitHub.com.
À propos du non-respect de l'activation de l'A2F obligatoire
Si vous n’activez pas 2FA dans la période d’installation de 45 jours et que vous autorisez la période de grâce de 7 jours à expirer, vous ne pourrez pas accéder GitHub.com tant que vous n’activez pas 2FA. Si vous tentez d’accéder GitHub.com, vous êtes invité à activer 2FA.
Si vous n'activez pas l'A2F obligatoire, les jetons associés à votre compte continueront de fonctionner, car ils sont employés dans des automatisations critiques. Ces jetons incluent personal access tokens et les jetons OAuth émis aux applications pour agir en votre nom. L'activation de l'A2F ne révoquera pas et ne modifiera pas le comportement des jetons émis pour votre compte. Cependant, les comptes verrouillés ne pourront pas autoriser de nouvelles applications ni créer de nouveaux PAT tant qu'ils n'auront pas activé l'A2F.
À propos des méthodes d'A2F requises
Nous recommandons de configurer une application de mot de passe à usage unique basé sur le temps (TOTP) comme méthode principale d'A2F, et d'ajouter une clé d'accès ou une clé de sécurité comme solution de secours. Si vous n’avez pas de clé secrète ou de sécurité, l’application GitHub Mobile est également une bonne option de sauvegarde. Le SMS est fiable dans la plupart des pays, mais comporte des risques de sécurité avec lesquels certains modèles de menace peuvent ne pas être compatibles.
Actuellement, nous ne prenons pas en charge les clés d'accès ou les clés de sécurité comme méthodes d'A2F principales, car elles sont faciles à perdre et ne prennent pas en charge la synchronisation sur une gamme suffisamment large d'appareils. À mesure que les clés d'accès seront plus largement adoptées et que la synchronisation deviendra plus répandue, nous les prendrons en charge comme méthode principale.
-
[À propos des applications TOTP et de l'A2F obligatoire](#about-totp-apps-and-mandatory-2fa) -
[À propos de l'authentification unique SAML et de l'A2F obligatoire](#about-saml-sso-and-mandatory-2fa) -
[À propos de la vérification par e-mail et de l'A2F obligatoire](#about-email-verification-and-mandatory-2fa)
Remarque
Nous vous recommandons de conserver les cookies sur GitHub.com. Si vous configurez votre navigateur pour effacer vos cookies chaque jour, vous n'aurez jamais d'appareil vérifié pour la récupération de compte, car le _device_idcookie est utilisé pour prouver de manière sécurisée que vous avez déjà utilisé cet appareil. Pour plus d’informations, consultez « Récupération de votre compte si vous perdez vos informations d’identification TFA ».
À propos des applications TOTP et de l'A2F obligatoire
Les applications TOTP sont le facteur 2FA recommandé pour GitHub. Pour plus d'informations sur la configuration d'applications TOTP, consultez Configuration de l’authentification à 2 facteurs.
Si vous ne souhaitez pas télécharger une application sur votre appareil mobile, il existe plusieurs options d'applications TOTP autonomes fonctionnant sur différentes plateformes. Pour les applications de bureau, nous recommandons KeePassXC, et pour les extensions de navigateur, nous recommandons 1Password.
Vous pouvez également configurer manuellement toute application générant un code compatible avec la RFC 6238. Pour en savoir plus sur la configuration manuelle d'une application TOTP, voir Configuration de l’authentification à 2 facteurs. Pour plus d'informations sur la RFC 6238, consultez TOTP: Time-Based One-Time Password Algorithm dans la documentation de l'IETF.
Remarque
Si vous utilisez FreeOTP pour l'A2F, vous pouvez voir un avertissement concernant des paramètres de chiffrement faibles. GitHub utilise un secret 80 bits pour garantir la compatibilité avec les versions antérieures de Google Authenticator. 80 bits est inférieur aux 128 bits recommandés par la RFC HOTP, mais pour l'instant nous n'avons pas prévu de changer cela et recommandons d'ignorer ce message. Pour en savoir plus, consultez HOTP: An HMAC-Based One-Time Password Algorithm dans la documentation de l'IETF.
À propos de l'authentification unique SAML et de l'A2F obligatoire
Si vous avez été sélectionné pour l'2FA obligatoire, vous devez vous inscrire à 2FA GitHub.com même si votre entreprise requiert déjà l’authentification unique (SSO) avec 2FA. Bien que l’authentification unique avec 2FA soit un moyen puissant de protéger les ressources appartenant à l’organisation ou à l’entreprise, elle ne protège pas le contenu appartenant à l’utilisateur sans GitHub.com lien avec une organisation ou une entreprise, ni ne protège-t-elle le profil et les paramètres d’un utilisateur.
GitHub nécessite uniquement que vous effectuiez une 2FA lors de l'authentification initiale et pour les actions sensibles. Par conséquent, même si vous devez effectuer chaque jour une 2FA d’entreprise pour accéder à GitHub, vous devrez rarement effectuer la 2FA une deuxième fois via GitHub. Pour en savoir plus sur les actions sensibles, consultez [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/sudo-mode).
À propos de la vérification par e-mail et de l'A2F obligatoire
Lorsque vous vous connectez à GitHub.com, la vérification par e-mail ne compte pas comme 2FA. L'adresse e-mail de votre compte est utilisée pour les réinitialisations de mot de passe, qui constituent une forme de récupération de compte. Si un acteur malveillant obtient un accès à votre boîte de réception, il peut réinitialiser le mot de passe de votre compte et effectuer une vérification d'appareil par e-mail, réduisant la protection de votre compte à un seul facteur. Nous exigeons un second facteur pour éviter ce scénario. Il doit être distinct de votre boîte de réception. Lorsque vous activez l'A2F, nous ne procéderons plus à la vérification par e-mail lors de la connexion.
À propos des comptes de service et de l'A2F obligatoire
Les comptes d'accès non supervisés ou partagés dans votre organisation, tels que les bots et les comptes de service, sélectionnés pour l'A2F obligatoire, doivent activer l'A2F. L'activation de l'A2F ne révoquera pas et ne modifiera pas le comportement des jetons émis pour le compte de service. GitHub recommande de stocker en toute sécurité le secret TOTP du compte de service dans le stockage d’informations d’identification partagées. Pour plus d’informations, consultez « Gestion des bots et des comptes de service avec l’authentification à 2 facteurs ».
À propos de la protection de vos données dans le cadre de l'A2F obligatoire
Si vous avez été sélectionné pour l'2FA obligatoire, cela ne signifie pas que vous devez fournir GitHub votre numéro de téléphone. Vous ne devez fournir votre numéro de téléphone que si vous utilisez l'A2F par SMS. Nous recommandons plutôt de configurer une application TOTP comme méthode principale d'A2F. Pour plus d’informations, consultez « Configuration de l’authentification à 2 facteurs ».
Remarque
Votre région peut ne pas apparaître dans les options SMS disponibles. Nous surveillons les taux de réussite d'envoi des SMS par région, et nous désactivons l'activation dans les régions où ces taux sont faibles. Si vous ne voyez pas votre région dans la liste, vous devez configurer une application TOTP à la place. Pour en savoir plus sur les régions prises en charge pour l'A2F par SMS, voir Pays où l’authentification par SMS est prise en charge.