Slack pour Android stockait les mots de passe en clair, vous devriez en changer

Christelle Perret
12 février 2021 à 16h13
6
logo slack.jpg

Si vous utilisez l'application Slack pour Android, arrêtez tout et changez immédiatement votre mot de passe ! Pendant un mois, un bug survenu à la fin du mois de décembre permettait l'enregistrement en clair des données d'identification des utilisateurs sur leurs appareils.

La société a envoyé un email à tous ses utilisateurs, mais vous l'avez peut-être manqué. Elle y précise que le bug n'aurait toutefois pas entraîné d'accès non autorisé aux comptes Slack touchés par cette importante faille de sécurité.

Droit de réponse de Slack :

« Le vendredi 5 février, nous avons informé des utilisateurs de Slack's Android que nous avions réinitialisé leurs mots de passe en réponse à un bogue qui enregistrait les informations d'identification en texte clair. Cette réinitialisation ne concernait qu'un petit sous-ensemble d'utilisateurs Android (moins de 1%) qui avaient entré leur mot de passe entre le 11 janvier 2021 et le 20 janvier 2021. Les utilisateurs qui se connectent via un fournisseur de connexion unique (SSO) n'ont pas été touchés du tout.

Pour l'instant, aucune mesure supplémentaire n'est nécessaire pour les utilisateurs Android avertis. Slack a réinitialisé tous les mots de passe connus, a demandé aux utilisateurs de la version concernée de passer à une version à jour de l'application Android et a informé ces utilisateurs et les propriétaires principaux de leur espace de travail du problème. Nous nous excusons sincèrement pour toute perturbation. »

Changez votre mot de passe Slack pour Android

C'est le 21 décembre 2020 que Slack aurait introduit un bug dans son application Android, et pas des moindres. En effet, ce dysfonctionnement permettait à l'application d'enregistrer en clair les données d'identification de ses utilisateurs, notamment le mot de passe.

Et c'est seulement le 20 janvier 2021 que Slack s'est aperçu du problème. Toutefois, il a été corrigé dès le lendemain. La première chose est faire est donc de mettre à jour votre application Slack, afin de bénéficier du correctif mis en ligne.

Mais la société insiste pour une réinitialisation de votre mot de passe. Elle précise que la « sélection d'un mot de passe complexe et unique est fortement recommandée », et qu'elle est également « essentielle pour protéger l'intégrité de votre compte ».

Télécharger Slack pour Android

Source : Android Police

Christelle Perret

Christelle Perret

Bercée trop près des consoles de jeux vidéo et fortement soumise aux ondes des gadgets High Tech, j'ai développé une passion pour ces domaines qui rendraient violent / distrait / dépressif / cochez l'...

Lire d'autres articles

Bercée trop près des consoles de jeux vidéo et fortement soumise aux ondes des gadgets High Tech, j'ai développé une passion pour ces domaines qui rendraient violent / distrait / dépressif / cochez l'adjectif adéquat ou ajoutez-en un nouveau. J'aime les chats, Harry Potter et je pense que Le Seigneur des Anneaux, c'est mieux que Star Wars. J'assume, et j'ai même pas peur de le dire !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (6)

norwy
Même si le mot de passe est stocké en clair sur l’appareil Android, comment peut-il être récupéré par un tiers ?
Akkyshan
Bonjour,<br /> Il peut être récupéré par d’autres applications installées sur le smartphone Android. Et certaines sont connues pour collecter beaucoup (trop) d’informations sur leurs utilisateurs, pour en faire on ne sait pas trop quoi…<br /> A noter que beaucoup de gens ont la fâcheuse habitude d’avoir un seul mot de passe, qu’ils utilisent pour toutes leurs applications. C’est là que les choses deviennent très dangereuses. C’est pourquoi Slack insiste dans son mail sur la nécessité de définir un mot de passe unique et fortement sécurisé pour chaque site/logiciel/application.
norwy
Merci, c’est clair. Le danger vient des autres applications qui ont accès au storage. C’est dommage de leur donner un accès complet illimité sous prétexte qu’elles ont besoin d’accéder à un moment donné à quelque chose. Pour moi, il devrait y avoir beaucoup plus de limitations en place pour éviter ce type de désagréments…
Proutie66
Il aurait fallu qu’ils gèrent un token; étonnant, quand on connait la valeur de slack…
chasis_fan
D’après le communiqué :<br /> «&nbsp;Affected customers are also asked to wipe their Android app’s data to get rid of those logs, which are still hanging around your phone’s storage, storing your login credentials in plain text. There are a handful of ways to do that. Slack instructs customers to go to Settings → Apps → Slack → Storage → Clear Data or Storage&nbsp;»<br /> Donc c’était stocké en clair dans :<br /> /data/data/com.Slack<br /> ou<br /> /Android/data/com.Slack<br /> ils ne sont pas plus précis, «&nbsp;around your phone’s storage&nbsp;» ca ne dit pas quel mode de stockage était utilisé, le Clear Data or Storage vident les deux<br /> A moins que ca confirme l’utilisation de l’espace privé de l’appli (/data/data/com.Slack) non accessible hors ROOT :<br /> The Verge – 10 Feb 21<br /> PSA: if you use Slack on Android, you might want to update your password<br /> Why is changing your Slack password so hard?<br /> Update February 11th, 12:35AM ET: Added Slack’s clarification that the passwords were stored in private logs, and that the issue should have only affected users who logged in with an email and password specifically during the one-month period.<br /> /data/data/&lt;app.package&gt; n’est accessible que par l’application, même pas par l’utilisateur de l’appareil =&gt; impossible de faire un backup soit meme par simple copie de fichiers sur Android, seul un accès ROOT permet de mettre la main sur les fichiers stockés la dedans.<br /> Android/data/&lt;app.package&gt; par contre c’est lisible par l’utilisateur et d’autres applications à condition qu’ont leur ait accordé l’accès à ce dossier / dossier parent (c’était plus permissif sur les anciennes versions d’android)
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Slack pour Android stockait les mots de passe en clair, vous devriez en changer Slack pour Android stockait les mots de passe en clair, vous devriez en changer
Vous avez créé une invitation partagée sur Slack ? Votre mot de passe est peut-être compromis Vous avez créé une invitation partagée sur Slack ? Votre mot de passe est peut-être compromis
Adobe supprime par erreur (et définitivement) les photos d'utilisateurs de Lightroom Adobe supprime par erreur (et définitivement) les photos d'utilisateurs de Lightroom
OnePlus Nord : un étonnant bug provoque la réinitialisation intempestive de certains smartphones OnePlus Nord : un étonnant bug provoque la réinitialisation intempestive de certains smartphones
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique