GitHub attaqué pour récupérer des comptes utilisateurs

Le 16 juin, GitHub a repéré un grand nombre de tentatives d'authentification sur ses serveurs. Vous allez nous dire que ça n'a rien d'étrange lorsqu'on affiche une base de 14 millions d'utilisateurs, mais lorsque les authentifications sont foireuses (soit par le mail ou le mot de passe) et que la chose est rapidement répétée, il y a de quoi tiquer. C'était tout simplement des personnes qui tentaient d'utiliser des comptes piratés sur d'autres plateformes pour se connecter à GitHub.

Vu que les utilisateurs aiment utiliser un seul mot de passe pour tous leurs comptes, ça a fonctionné pour plusieurs et c'est pourquoi GitHub vous invite à changer le vôtre. Sur une plateforme qui permet de modifier du code comme celle-ci, c'est assez gênant d'avoir des comptes hackés, même si la nécessité de valider les changements par l'auteur limite les risques (sauf lorsque c'est le compte de l'auteur qui est piraté). Heureusement, l'équipe de GitHub a référencé tous les comptes qui ont été connectés et ont lancé une remise à zéro de mot de passe de ces derniers. Dans le doute, pensez à modifier le vôtre si vous avez un compte, même si GitHub ne vous signale rien.

Que retenir de cette histoire ? Qu'utiliser la même association courriel et mot de passe pour tous les sites est dangereux. A la limite, avoir un seul courriel peut s'expliquer (même s'il est risqué de mettre tous ses oeufs dans le même panier), mais utiliser le même mot de passe est vraiment dangereux. Une simple variation dans les caractères vous protège déjà, mais un gestionnaire de mot de passe avec des chaines de caractères longues est le seul moyen de réellement éviter ce genre de blagues. Faites attention à votre identité numérique !