Slack pour Android stockait les mots de passe en clair, vous devriez en changer

12 février 2021 à 16h13
6
logo slack.jpg

Si vous utilisez l'application Slack pour Android, arrêtez tout et changez immédiatement votre mot de passe ! Pendant un mois, un bug survenu à la fin du mois de décembre permettait l'enregistrement en clair des données d'identification des utilisateurs sur leurs appareils.

La société a envoyé un email à tous ses utilisateurs, mais vous l'avez peut-être manqué. Elle y précise que le bug n'aurait toutefois pas entraîné d'accès non autorisé aux comptes Slack touchés par cette importante faille de sécurité.

Droit de réponse de Slack :

« Le vendredi 5 février, nous avons informé des utilisateurs de Slack's Android que nous avions réinitialisé leurs mots de passe en réponse à un bogue qui enregistrait les informations d'identification en texte clair. Cette réinitialisation ne concernait qu'un petit sous-ensemble d'utilisateurs Android (moins de 1%) qui avaient entré leur mot de passe entre le 11 janvier 2021 et le 20 janvier 2021. Les utilisateurs qui se connectent via un fournisseur de connexion unique (SSO) n'ont pas été touchés du tout.

Pour l'instant, aucune mesure supplémentaire n'est nécessaire pour les utilisateurs Android avertis. Slack a réinitialisé tous les mots de passe connus, a demandé aux utilisateurs de la version concernée de passer à une version à jour de l'application Android et a informé ces utilisateurs et les propriétaires principaux de leur espace de travail du problème. Nous nous excusons sincèrement pour toute perturbation. »

Changez votre mot de passe Slack pour Android

C'est le 21 décembre 2020 que Slack aurait introduit un bug dans son application Android, et pas des moindres. En effet, ce dysfonctionnement permettait à l'application d'enregistrer en clair les données d'identification de ses utilisateurs, notamment le mot de passe.

Et c'est seulement le 20 janvier 2021 que Slack s'est aperçu du problème. Toutefois, il a été corrigé dès le lendemain. La première chose est faire est donc de mettre à jour votre application Slack, afin de bénéficier du correctif mis en ligne.

Mais la société insiste pour une réinitialisation de votre mot de passe. Elle précise que la « sélection d'un mot de passe complexe et unique est fortement recommandée », et qu'elle est également « essentielle pour protéger l'intégrité de votre compte ».

Source : Android Police

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
5
norwy
Même si le mot de passe est stocké en clair sur l’appareil Android, comment peut-il être récupéré par un tiers ?
Akkyshan
Bonjour,<br /> Il peut être récupéré par d’autres applications installées sur le smartphone Android. Et certaines sont connues pour collecter beaucoup (trop) d’informations sur leurs utilisateurs, pour en faire on ne sait pas trop quoi…<br /> A noter que beaucoup de gens ont la fâcheuse habitude d’avoir un seul mot de passe, qu’ils utilisent pour toutes leurs applications. C’est là que les choses deviennent très dangereuses. C’est pourquoi Slack insiste dans son mail sur la nécessité de définir un mot de passe unique et fortement sécurisé pour chaque site/logiciel/application.
norwy
Merci, c’est clair. Le danger vient des autres applications qui ont accès au storage. C’est dommage de leur donner un accès complet illimité sous prétexte qu’elles ont besoin d’accéder à un moment donné à quelque chose. Pour moi, il devrait y avoir beaucoup plus de limitations en place pour éviter ce type de désagréments…
Proutie66
Il aurait fallu qu’ils gèrent un token; étonnant, quand on connait la valeur de slack…
chasis_fan
D’après le communiqué :<br /> «&nbsp;Affected customers are also asked to wipe their Android app’s data to get rid of those logs, which are still hanging around your phone’s storage, storing your login credentials in plain text. There are a handful of ways to do that. Slack instructs customers to go to Settings → Apps → Slack → Storage → Clear Data or Storage&nbsp;»<br /> Donc c’était stocké en clair dans :<br /> /data/data/com.Slack<br /> ou<br /> /Android/data/com.Slack<br /> ils ne sont pas plus précis, «&nbsp;around your phone’s storage&nbsp;» ca ne dit pas quel mode de stockage était utilisé, le Clear Data or Storage vident les deux<br /> A moins que ca confirme l’utilisation de l’espace privé de l’appli (/data/data/com.Slack) non accessible hors ROOT :<br /> The Verge – 10 Feb 21<br /> PSA: if you use Slack on Android, you might want to update your password<br /> Why is changing your Slack password so hard?<br /> Update February 11th, 12:35AM ET: Added Slack’s clarification that the passwords were stored in private logs, and that the issue should have only affected users who logged in with an email and password specifically during the one-month period.<br /> /data/data/&lt;app.package&gt; n’est accessible que par l’application, même pas par l’utilisateur de l’appareil =&gt; impossible de faire un backup soit meme par simple copie de fichiers sur Android, seul un accès ROOT permet de mettre la main sur les fichiers stockés la dedans.<br /> Android/data/&lt;app.package&gt; par contre c’est lisible par l’utilisateur et d’autres applications à condition qu’ont leur ait accordé l’accès à ce dossier / dossier parent (c’était plus permissif sur les anciennes versions d’android)
Voir tous les messages sur le forum

Derniers actualités

Le prix de cet écran gamer LG n'aura jamais été aussi bas 🔥
Améliorez votre setup bureau avec ce pack Logitech à prix réduit !
Aujourd'hui seulement, le OnePlus Nord2 est à moins de 290€ avec ce code promo !
Corsair lance son premier PC portable, le Voyager, pour
Comment une chanson de Janet jackson faisait planter les PC sous Windows XP
Tous vos services de streaming dans YouTube ? Google travaille à un store pour tout centraliser
Xbox Series S : chute de prix incroyable sur ce pack console + jeux !
Poursuivez l'été à l'abris des traqueurs en ligne grâce à NordVPN
pCloud : n'attendez plus pour vous offrir cette licence à -75% de 2To de stockage en ligne !
En utilisant ce code promo, votre Samsung S20 FE sera encore moins cher
Haut de page