Pour gérer vos consentements :

GitHub s’ouvre un peu plus aux clés de sécurité physiques

Adosser une clé FIDO à une clé SSH devient plus simple sur GitHub. La démarche ne requiert désormais plus d’intermédiaire de type OpenPGP. Elle peut se faire directement dans OpenSSH et Cygwin, avec le suffixe -sk (pour « security key »). Cela fonctionne en théorie avec toute clé U2F ou WebAuthn, aussi longtemps qu’elle prend en charge l’algorithme ED25519 et/ou ECDSA.

Le principe est le même qu’avec les clés SSH « traditionnelles ». Sauf que la partie privée vient se loger sur la clé FIDO. Il y a bel et bien un fichier à stocker sur chacune des machines censées effectuer des opérations Git en SSH, mais celui-ci n’est qu’une référence à la clé physique.

Si cette dernière le permet, on peut utiliser, à la création de la clé SSH, l’option dite de « résidence ». Elle facilite l’importation du fichier de référence en permettant cette opération directement depuis la clé FIDO.

GitHub écarte progressivement les mots de passe

Il est techniquement tout à fait possible de réaliser de multiples opérations sans avoir à manipuler à chaque fois la clé physique (tout comme il existe un cache pour les mots de passe). GitHub n’a toutefois pas retenu cette solution, en tout cas pour les opérations distantes. Pour le moment, elles requièrent de toucher la clé à chaque fois (c’est l’équivalent de l’option verify-required).

Dans cette configuration, on peut toujours protéger les clés SSH avec des mots de passe, mais ceux-ci deviennent un facteur secondaire et facultatif. De manière générale, ils sont en voie de disparition sur GitHub. Depuis le 13 novembre 2020, l’API REST ne les accepte plus. Il en sera de même à partir du 13 août 2021 pour toutes les opérations Git sur GitHub.com. Il faudra utiliser soit un jeton* sur HTTPS, soit une clé SSH. Des journées de test auront lieu le 30 juin et le 28 juillet. Avec, à chaque fois, deux plages horaires de trois heures où l’authentification par mot de passe ne marchera plus.

* En attendant l’échéance du 13 août, GitHub travaille à améliorer ces jetons PAT (Personal Access Tokens). Notamment en permettant de définir une date d’expiration et en offrant une gestion plus fine des permissions (pour le moment, ils activent tous les droits dont dispose l’utilisateur).

Photo d’illustration © WavebreakMediaMicro – Adobe Stock

Recent Posts

Dataiku en SaaS : le chantier concrétisé

L'offre Dataiku Online fait ses débuts commerciaux. Il s'agit d'une version SaaS de la plate-forme…

22 heures ago

Numeum : une voix numérique pour la France et l’Europe

Né de la fusion de Syntec Numérique et Tech in France, Numeum est le nouveau…

22 heures ago

Fluid Framework : ce que Microsoft vise sur Office et au-delà

L'intégration de Fluid Framework dans Microsoft 365 va se renforcer cet été. Mais la démarche…

24 heures ago

Développement logiciel : SLSA veut sécuriser la chaîne

Avec le projet SLSA, fondé sur une de ses méthodes internes, Google projette un framework…

1 jour ago

Microsoft : Satya Nadella devient président du conseil

Satya Nadella va cumuler les fonctions de président du "board" et de directeur général de…

2 jours ago

RGPD : les 27 disent oui au Royaume-Uni

Les États membres de l'UE ont validé la décision d'adéquation qui ouvre la voie au…

2 jours ago