Vous avez créé une invitation partagée sur Slack ? Votre mot de passe est peut-être compromis

09 août 2022 à 20h00
0
logo slack.jpg
© Slack

Slack a récemment informé une partie de ses utilisateurs de la réinitialisation de leurs mots de passe, compromis par une faille de sécurité.

Début août, environ 0,5 % des utilisateurs de Slack ont vu leurs mots de passe réinitialisés après que la messagerie instantanée a découvert une faille de sécurité. Cette proportion peut sembler relativement faible, mais est tout de même conséquente lorsque l'on sait que cette entreprise revendique plus de 10 millions d'utilisateurs actifs quotidiens.

Une faille de sécurité a priori sans gravité

Le principe de cette faille était le suivant : dès qu'un usager créait ou supprimait une invitation pour rejoindre un espace de discussion, tous les membres de l'espace en question recevaient une version cryptée de son mot de passe.

La faille, selon Slack, ne semble pas avoir été utilisée à des fins malveillantes, mais elle existe tout de même depuis avril 2017. Pour l'entreprise américaine, elle n'a d'ailleurs jamais été exploitée. Il faut dire que les personnes concernées ne transmettaient qu'une version cryptée de leur mot de passe, et à des gens qu'elles connaissaient dans la plupart des cas. Et surtout, aucune information confidentielle n'a été affichée en clair à cause de ce bug.

De plus, si ces mots de passe étaient transmis en théorie, le contrôle du contenu crypté opéré par la plateforme de messagerie les masquait dans les faits aux autres utilisateurs. Il fallait donc faire la démarche de rechercher les informations. Cependant, s'il est très difficile de récupérer un mot de passe à partir de sa version cryptée, ce n'est pas totalement impossible, il était donc temps d'agir.

Les équipes de Slack ont réagi

La faille de sécurité a initialement été découverte par un chercheur en sécurité informatique indépendant, qui a transmis ses données à Slack le 17 juillet dernier. Le problème a été presque immédiatement corrigé, et les personnes concernées en ont été informées dès la première semaine d'août.

Comme expliqué précédemment, la faille n'était pas extrêmement grave, mais la plateforme de messagerie l'a tout de même prise très au sérieux et a prévenu toutes les personnes dont le mot de passe avait été partiellement exposé qu'elles devaient le réinitialiser. Avant de pouvoir se reconnecter, il leur fallait donc en créer un nouveau. Si vous n'avez pas reçu cette notification, mais que vous craignez de faire partie des comptes compromis, il est possible de le vérifier en cliquant sur ce lien.

Par ailleurs, comme la plupart des services de ce type, il est recommandé aux usagers d'utiliser la double identification pour plus de sécurité.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Derniers actualités

Saisissez dès à présent cette licence antivirus couvrant 5 appareils simultanément chez Norton
Découvrez pourquoi cette licence VPN à -82% chez CyberGhost vaut vraiment le détour !
On connaît les prix des Pixel Watch en euros !
Découvrez le nouveau Pixel 7 de Google dans cette vidéo
Samsung Expert RAW arrive sur 3 nouveaux téléphones
Il y a désormais un smartphone encore plus écoresponsable que le Fairphone 4
Faut-il vraiment que Brave bloque les consentements de cookies ? C'est ce qu'il va faire très bientôt
C'était de la SF ou du jeu vidéo, la tourelle commandée par IA est désormais une triste réalité en Palestine
Insolite : il imagine et fabrique une boîte à rythmes... en LEGO
Imaginé pour les pros du vélo, ce nouveau moteur électrique Bosch a de quoi vous envoyer dans le décor
Haut de page