Slack pour Android stockait les mots de passe en clair, vous devriez en changer

Publié le 12 février 2021 à 16h13

Si vous utilisez l'application Slack pour Android, arrêtez tout et changez immédiatement votre mot de passe ! Pendant un mois, un bug survenu à la fin du mois de décembre permettait l'enregistrement en clair des données d'identification des utilisateurs sur leurs appareils.

La société a envoyé un email à tous ses utilisateurs, mais vous l'avez peut-être manqué. Elle y précise que le bug n'aurait toutefois pas entraîné d'accès non autorisé aux comptes Slack touchés par cette importante faille de sécurité.

Droit de réponse de Slack :

« Le vendredi 5 février, nous avons informé des utilisateurs de Slack's Android que nous avions réinitialisé leurs mots de passe en réponse à un bogue qui enregistrait les informations d'identification en texte clair. Cette réinitialisation ne concernait qu'un petit sous-ensemble d'utilisateurs Android (moins de 1%) qui avaient entré leur mot de passe entre le 11 janvier 2021 et le 20 janvier 2021. Les utilisateurs qui se connectent via un fournisseur de connexion unique (SSO) n'ont pas été touchés du tout.

Pour l'instant, aucune mesure supplémentaire n'est nécessaire pour les utilisateurs Android avertis. Slack a réinitialisé tous les mots de passe connus, a demandé aux utilisateurs de la version concernée de passer à une version à jour de l'application Android et a informé ces utilisateurs et les propriétaires principaux de leur espace de travail du problème. Nous nous excusons sincèrement pour toute perturbation. »

Changez votre mot de passe Slack pour Android

C'est le 21 décembre 2020 que Slack aurait introduit un bug dans son application Android, et pas des moindres. En effet, ce dysfonctionnement permettait à l'application d'enregistrer en clair les données d'identification de ses utilisateurs, notamment le mot de passe.

Et c'est seulement le 20 janvier 2021 que Slack s'est aperçu du problème. Toutefois, il a été corrigé dès le lendemain. La première chose est faire est donc de mettre à jour votre application Slack, afin de bénéficier du correctif mis en ligne.

Mais la société insiste pour une réinitialisation de votre mot de passe. Elle précise que la « sélection d'un mot de passe complexe et unique est fortement recommandée », et qu'elle est également « essentielle pour protéger l'intégrité de votre compte ».

Télécharger Slack pour Android

Source : Android Police

Par Christelle Perret

Bercée trop près des consoles de jeux vidéo et fortement soumise aux ondes des gadgets High Tech, j'ai développé une passion pour ces domaines qui rendraient violent / distrait / dépressif / cochez l'adjectif adéquat ou ajoutez-en un nouveau. J'aime les chats, Harry Potter et je pense que Le Seigneur des Anneaux, c'est mieux que Star Wars. J'assume, et j'ai même pas peur de le dire !

Articles de Christelle Perret

Messageries instantanées

Applications mobiles

Bureautique & productivité

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

norwy

Même si le mot de passe est stocké en clair sur l’appareil Android, comment peut-il être récupéré par un tiers ?

Akkyshan

Bonjour,
Il peut être récupéré par d’autres applications installées sur le smartphone Android. Et certaines sont connues pour collecter beaucoup (trop) d’informations sur leurs utilisateurs, pour en faire on ne sait pas trop quoi…
A noter que beaucoup de gens ont la fâcheuse habitude d’avoir un seul mot de passe, qu’ils utilisent pour toutes leurs applications. C’est là que les choses deviennent très dangereuses. C’est pourquoi Slack insiste dans son mail sur la nécessité de définir un mot de passe unique et fortement sécurisé pour chaque site/logiciel/application.

norwy

Merci, c’est clair. Le danger vient des autres applications qui ont accès au storage. C’est dommage de leur donner un accès complet illimité sous prétexte qu’elles ont besoin d’accéder à un moment donné à quelque chose. Pour moi, il devrait y avoir beaucoup plus de limitations en place pour éviter ce type de désagréments…

Proutie66

Il aurait fallu qu’ils gèrent un token; étonnant, quand on connait la valeur de slack…

chasis_fan

D’après le communiqué :
« Affected customers are also asked to wipe their Android app’s data to get rid of those logs, which are still hanging around your phone’s storage, storing your login credentials in plain text. There are a handful of ways to do that. Slack instructs customers to go to Settings → Apps → Slack → Storage → Clear Data or Storage »

Donc c’était stocké en clair dans :
/data/data/com.Slack
ou
/Android/data/com.Slack

ils ne sont pas plus précis, « around your phone’s storage » ca ne dit pas quel mode de stockage était utilisé, le Clear Data or Storage vident les deux

A moins que ca confirme l’utilisation de l’espace privé de l’appli (/data/data/com.Slack) non accessible hors ROOT :

Update February 11th, 12:35AM ET: Added Slack’s clarification that the passwords were stored in private logs, and that the issue should have only affected users who logged in with an email and password specifically during the one-month period.

/data/data/<app.package> n’est accessible que par l’application, même pas par l’utilisateur de l’appareil => impossible de faire un backup soit meme par simple copie de fichiers sur Android, seul un accès ROOT permet de mettre la main sur les fichiers stockés la dedans.

Android/data/<app.package> par contre c’est lisible par l’utilisateur et d’autres applications à condition qu’ont leur ait accordé l’accès à ce dossier / dossier parent (c’était plus permissif sur les anciennes versions d’android)