GitHub exige maintenant la 2FA
Depuis 2024, GitHub exige que tous les développeurs qui contribuent du code activent l’authentification à deux facteurs. Si vous ne l’avez pas encore configurée, vous avez probablement vu des rappels. Même si ce n’est pas le cas, cela vaut la peine de le faire. Votre compte GitHub a probablement accès à des dépôts privés, des pipelines de déploiement, et des identifiants que vous ne voulez vraiment pas exposer.
Configurer la 2FA basée sur TOTP (le type application d’authentification) prend environ deux minutes. Voici comment.
Si vous voulez des informations sur comment fonctionnent les codes d’authentification, consultez Qu’est-ce que TOTP ?.
Ce dont vous aurez besoin
- Un compte GitHub
- Une application d’authentification (Google Authenticator, Authy, 1Password, Bitwarden, ou n’importe quelle application compatible TOTP)
Configuration étape par étape
1. Ouvrez vos paramètres
Cliquez sur votre photo de profil dans le coin supérieur droit de n’importe quelle page GitHub, puis cliquez sur Paramètres.
2. Allez dans “Mot de passe et authentification”
Dans la barre latérale de gauche, sous “Accès”, cliquez sur Mot de passe et authentification.
3. Cliquez sur “Activer l’authentification à deux facteurs”
Vous verrez une section pour l’authentification à deux facteurs. Cliquez sur le bouton pour l’activer. GitHub peut vous demander de confirmer votre mot de passe.
4. Choisissez “Configurer en utilisant une application”
GitHub vous donne l’option d’utiliser une application d’authentification ou des SMS. Choisissez l’application d’authentification. C’est plus sécurisé et ne dépend pas du service cellulaire.
5. Scannez le QR code
GitHub affiche un QR code. Ouvrez votre application d’authentification, ajoutez un nouveau compte, et scannez-le.
Si vous ne pouvez pas scanner le code, cliquez sur “clé de configuration” pour voir le secret en texte clair. Vous pouvez saisir ceci dans votre application d’authentification manuellement.
Une chose à noter : GitHub vous montre la clé de configuration dans un format spécifique. Copiez-la exactement, y compris les espaces ou groupements, selon ce que votre application attend. La plupart des applications gèrent bien dans les deux cas.
6. Saisissez le code de vérification
Votre application d’authentification affichera un code à 6 chiffres. Saisissez-le dans GitHub et cliquez sur Continuer.
7. Sauvegardez vos codes de récupération
GitHub génère un ensemble de codes de récupération. C’est l’écran que les gens dépassent rapidement, mais vous ne devriez pas.
Chaque code de récupération est un code à usage unique qui vous permet de vous connecter si vous perdez l’accès à votre application d’authentification. Téléchargez-les, imprimez-les, ou sauvegardez-les dans votre gestionnaire de mots de passe. Ne les laissez pas juste dans votre dossier de téléchargements de navigateur.
GitHub vous demandera de confirmer que vous les avez sauvegardés avant de terminer la configuration.
Clés SSH et 2FA
Une chose qui prend les gens au dépourvu : activer la 2FA change comment l’authentification Git fonctionne via HTTPS.
Après avoir activé la 2FA, vous ne pouvez plus utiliser votre mot de passe GitHub pour les opérations Git HTTPS. Vous devrez utiliser soit :
- Un token d’accès personnel (PAT) à la place de votre mot de passe pour HTTPS
- Des clés SSH, qui ne sont pas affectées par la 2FA du tout
Si vous utilisez déjà SSH pour push et pull, rien ne change. Si vous utilisez HTTPS, vous devrez créer un token d’accès personnel (Paramètres > Paramètres développeur > Tokens d’accès personnel) et l’utiliser comme mot de passe quand Git demande des identifiants.
Alternativement, le CLI GitHub (gh auth login) gère tout cela pour vous et est probablement l’option la moins pénible.
Passkeys comme second facteur
GitHub prend également en charge les passkeys, qui peuvent servir à la fois de mot de passe et de second facteur. Si cela vous intéresse, vous pouvez en configurer un à côté de votre application d’authentification depuis la même page de paramètres “Mot de passe et authentification”.
Avoir les deux configurés vous donne de la flexibilité. Si votre téléphone meurt, vous pouvez utiliser votre passkey. Si votre appareil passkey n’est pas disponible, vous pouvez utiliser votre application d’authentification. La redondance est votre amie ici.
Gérer la 2FA après configuration
Vous pouvez toujours retourner dans Paramètres > Mot de passe et authentification pour :
- Voir ou régénérer vos codes de récupération (faites-le si vous en avez utilisé)
- Ajouter des applications d’authentification ou clés de sécurité supplémentaires
- Configurer des SMS de secours (utile comme dernier recours)
Si vous faites partie d’une organisation qui applique la 2FA, perdre l’accès à votre second facteur peut vous bloquer des dépôts de votre organisation jusqu’à ce que vous ré-authentifiez. Gardez vos codes de récupération à jour.
Récapitulatif rapide
- Paramètres > Mot de passe et authentification > Activer l’authentification à deux facteurs
- Choisissez application d’authentification, scannez le QR code
- Saisissez le code à 6 chiffres pour vérifier
- Téléchargez et stockez vos codes de récupération
- Si vous utilisez HTTPS pour Git, passez à un token d’accès personnel ou SSH
Cela prend deux minutes, et GitHub ne vous laissera plus trop tarder de toute façon.
Vous voulez voir comment fonctionnent les codes TOTP avant de configurer des choses ? Vous pouvez jouer avec un générateur sur 2fa.zip — c’est basé sur navigateur et n’envoie rien à un serveur.