Microsoft réduit les possibilités pour les pirates de dérober des informations d’identification. À cette fin, elle apporte un jeton d’accès personnel aux API REST d’Azure DevOps.
La semaine dernière, la pression sur Microsoft pour améliorer la sécurité de GitHub a augmenté. Le spécialiste de la cybersécurité Praetorian a ensuite révélé qu’il est possible de s’introduire dans les réseaux internes des entreprises via les outils CI/CD de GitHub.
Les jetons d’accès personnels (personal access token, PAT) sont un pas dans la bonne direction, selon les chercheurs. Il s’agit d’une alternative aux mots de passe qui contient des informations sur l’utilisateur, l’organisation et les autorisations.
Méfiez-vous de l’hameçonnage
Un PAT ne garantit pas un accès sécurisé. Par conséquent, la prudence des développeurs est toujours justifiée. Après tout, un PAT peut être découvert par hameçonnage ou par intrusion dans un ordinateur portable.
Les organisations qui adoptent les jetons d’accès personnels doivent également réfléchir aux autorisations dont un développeur a besoin. « Si vous utilisez actuellement un PAT à portée complète pour vous authentifier auprès de l’une des API REST d’Azure DevOps, pensez à migrer vers un PAT avec la portée spécifique acceptée par l’API pour éviter tout accès inutile », a souligné Barry Wolfson, PM d’Azure DevOps, dans un blog.