Skip to content

Instantly share code, notes, and snippets.

@foucdeg

foucdeg/github_2fa_piscar.md

Last active January 27, 2017 17:02
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save foucdeg/fc28b70b5eb53ae8ff47c83084719af8 to your computer and use it in GitHub Desktop.
Save foucdeg/fc28b70b5eb53ae8ff47c83084719af8 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
github_2fa_piscar.md

Problème

235 membres de Theodo sur Github n'ont pas l'authentification à deux facteurs activée

Impacts

Applications down, piratées ou fonctionnalités non voulues. Client mécontent, pas de rachat. Risques légaux.[1]

Standard

Un non-Theodoer cherche à se connecter à Github sur le compte d'un Theodoer -> il n'y arrive pas

Hypothèses de causes

  1. Le pirate possède l'ordinateur d'un Theodoer, les données ne sont pas chiffrées
  2. Le pirate est un Theodoer
  3. Le Theodoer n'a pas mis en place l'authentification à deux facteurs
  4. Github a une faille de sécurité
  5. Le projet ou la plate-forme de prod a une faille de sécurité
  6. Le projet est public sur GitHub
  7. Le pirate a été habilité par erreur sur le projet

Action

Imposer à tous les membres de l'organisation Theodo sur Github l'authentification à deux facteurs :

  • Voir combien de Theodoers ne l'ont pas dejà fait ✅
  • Communiquer aux archis (owners sur Github) et leur demander d'activer la 2FA ✅
  • Rendre standard la 2FA à tout nouvel arrivant et à tout nouvel archi ✅
  • Prévenir et sensibiliser les Theodoers et leur expliquer la procédure (2 min)

Résultat attendu

Le 1er Mars, 100% des Theodoers ont l'authentification à deux facteurs sur Github.

[1] Probabilité, impact financier et coût

Le risque

Même si un piratage ciblé n'est jamais arrivé à Theodo, la probabilité va fortement augmenter proportionnellement au nombre de Theodoers (plus de possibilités pour un pirate) et de projets (plus d'incentive). A fortiori si nous obtenons des projets critiques dans des grosses entreprises comme la SG.

En 2018, la CNIL sera en mesure d'imposer une amende de 4% du CA à une entreprise dont les données clients auraient fuité. A la SG, ces 4% sont 1 Md€. Il est plus que probable qu'une telle fuite coûterait à Theodo, si on en est responsables, au moins sa collaboration avec la SG.

On peut y ajouter, dans un registre moins grave mais plus probable, des piratages non ciblés qui dégradent quand même l'image de Theodo (exemple analogue avec GMail: Michael Thompson qui envoie du spam à ses leads car pas de 2FA) ou des clients qui refuseraient de travailler avec nous si on n'a pas de stratégie de sécurité à leur présenter. La perte d'un client coûte a minima 60 K€ de CA (projet de 6 semaines).

Le coût

La 2FA coûte 30 secondes par mois par dev, ou 30 secondes par jour si vous vous déconnectez systématiquement de Github le soir. Si 10% des devs sont dans ce dernier cas, la 2FA coûte 57 €/mois soit 684 €/an à Theodo (sur une moyenne approximative de salaire brut total à 50 K€).

Bilan

  • Activer la 2FA coûte 684 € / an à Theodo.
  • Perdre un petit projet coûte ~ 60K€, un gros, 300K€, se prendre une amende de la CNIL ou un procès peut dépasser 1 M€.
  • La probabilité des événements ci-dessous, faible pour le moment, va augmenter avec le carré du nombre de Theodoers.

-> Si on considère que perdre un petit projet est probable dans les huit prochaines années, alors la 2FA fait gagner 10 fois plus d'argent qu'elle ne coûte.

-> Il faut mettre la 2FA :)

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment