Slack a récemment informé une partie de ses utilisateurs de la réinitialisation de leurs mots de passe, compromis par une faille de sécurité.
Début août, environ 0,5 % des utilisateurs de Slack ont vu leurs mots de passe réinitialisés après que la messagerie instantanée a découvert une faille de sécurité. Cette proportion peut sembler relativement faible, mais est tout de même conséquente lorsque l'on sait que cette entreprise revendique plus de 10 millions d'utilisateurs actifs quotidiens.
Une faille de sécurité a priori sans gravité
Le principe de cette faille était le suivant : dès qu'un usager créait ou supprimait une invitation pour rejoindre un espace de discussion, tous les membres de l'espace en question recevaient une version cryptée de son mot de passe.
La faille, selon Slack, ne semble pas avoir été utilisée à des fins malveillantes, mais elle existe tout de même depuis avril 2017. Pour l'entreprise américaine, elle n'a d'ailleurs jamais été exploitée. Il faut dire que les personnes concernées ne transmettaient qu'une version cryptée de leur mot de passe, et à des gens qu'elles connaissaient dans la plupart des cas. Et surtout, aucune information confidentielle n'a été affichée en clair à cause de ce bug.
De plus, si ces mots de passe étaient transmis en théorie, le contrôle du contenu crypté opéré par la plateforme de messagerie les masquait dans les faits aux autres utilisateurs. Il fallait donc faire la démarche de rechercher les informations. Cependant, s'il est très difficile de récupérer un mot de passe à partir de sa version cryptée, ce n'est pas totalement impossible, il était donc temps d'agir.
Les équipes de Slack ont réagi
La faille de sécurité a initialement été découverte par un chercheur en sécurité informatique indépendant, qui a transmis ses données à Slack le 17 juillet dernier. Le problème a été presque immédiatement corrigé, et les personnes concernées en ont été informées dès la première semaine d'août.
Comme expliqué précédemment, la faille n'était pas extrêmement grave, mais la plateforme de messagerie l'a tout de même prise très au sérieux et a prévenu toutes les personnes dont le mot de passe avait été partiellement exposé qu'elles devaient le réinitialiser. Avant de pouvoir se reconnecter, il leur fallait donc en créer un nouveau. Si vous n'avez pas reçu cette notification, mais que vous craignez de faire partie des comptes compromis, il est possible de le vérifier en cliquant sur ce lien.
Par ailleurs, comme la plupart des services de ce type, il est recommandé aux usagers d'utiliser la double identification pour plus de sécurité.
Sources : Bleeping Computer, The Register
