Un sérieux bug de sécurité a concerné moins de 1% des utilisateurs de Slack. Des mesures ont été prises par le service.
Le 4 août dernier, Slack envoyait une demande de réinitialisation de mot de passe à environ 50 000 de ses utilisateurs. Ou plus exactement à 0,5 % de ses utilisateurs quotidiens, qui seraient 10 millions d’après le service de messagerie professionnelle. La raison ? Le 17 juillet dernier, un chercheur en sécurité indépendant découvrait une faille qui avait cours depuis le 17 avril 2017.
Des mots de passe Slack dans la nature ?
Il n’y aurait cependant pas trop de raisons de s’alarmer. En effet, non seulement il s’agit d’une fuite de mots de passe hachés (et donc inutilisables en tant que tels et quasiment impossibles à déchiffrer), mais en plus la méthode pour obtenir ces derniers n’était pas évidente.
Quand un utilisateur créait ou révoquait une invitation partagée à un workspace, Slack transmettait leur mot de passe haché à d’autres utilisateurs de ce dernier. Ce mot de passe n’était bien heureusement pas visible, et seule une personne surveillant activement le trafic chiffré des serveurs de Slack pouvait le récupérer.
La faille est donc aujourd’hui comblée, et Slack précise n’avoir aucune raison de penser que des mots de passe en clair auraient fuité. Reste à espérer que personne n’a profité de cette erreur et que rien de dommageable ne pourra en découler.
L’activation de la double authentification à systématiser
Si cette faille n’est aujourd’hui plus qu’une histoire ancienne et qu’il est pratiquement impossible d’utiliser un mot de passe haché, reste qu’il ne coûte rien d’être toujours plus prudent.
Outre utiliser un mot de passe solide (long, avec des caractères spéciaux et des majuscules/minuscules) et unique par service, activer la double authentification quand cela est possible est l’un des meilleurs moyens de se prémunir de ce genre de faille. Bien des applications gratuites le proposent aujourd’hui, comme Microsoft ou Google Authenticator pour ne citer que les plus évidents.
Slack invite également les plus inquiets à consulter l’historique d’accès à leur compte afin de repérer toute activité suspecte. Pour cela, direction cette page.