La communication de bureau La plate-forme Slack est connue pour être facile et intuitive à utiliser. Mais la société a déclaré vendredi que l’une de ses fonctionnalités à faible friction contenait une vulnérabilité, désormais corrigée, qui exposait des versions chiffrées brouillées des mots de passe de certains utilisateurs.
Lorsque des utilisateurs créaient ou révoquaient un lien, appelé « lien d’invitation partagé », que d’autres pouvaient utiliser pour s’inscrire à un espace de travail Slack donné, la commande transmettait également par inadvertance le mot de passe haché du créateur du lien aux autres membres de cet espace de travail. La faille a eu un impact sur le mot de passe de toute personne ayant créé ou supprimé un lien d’invitation partagé sur une période de cinq ans, entre le 17 avril 2017 et le 17 juillet 2022.
Slack, qui appartient maintenant à Salesforce, affirme qu’un chercheur en sécurité a révélé le bogue à l’entreprise le 17 juillet 2022. Les mots de passe errants n’étaient visibles nulle part dans Slack, note l’entreprise, et n’auraient pu être appréhendés que par quelqu’un qui surveillait activement le trafic réseau crypté pertinent des serveurs de Slack. Bien que la société affirme qu’il est peu probable que le contenu réel des mots de passe ait été compromis à cause de la faille, elle a informé les utilisateurs concernés jeudi et forcé la réinitialisation des mots de passe pour chacun d’eux.
Slack a déclaré que la situation affectait environ 0,5% de ses utilisateurs. En 2019, la société a déclaré qu’elle comptait plus de 10 millions d’utilisateurs actifs quotidiens, ce qui signifierait environ 50 000 notifications. À l’heure actuelle, l’entreprise a peut-être presque doublé ce nombre d’utilisateurs. Certains utilisateurs dont les mots de passe ont été exposés au cours des cinq années peuvent ne plus être des utilisateurs de Slack aujourd’hui.
“Nous avons immédiatement pris des mesures pour mettre en œuvre un correctif et publié une mise à jour le jour même où le bogue a été découvert, le 17 juillet 2022”, a déclaré la société dans un communiqué. “Slack a informé tous les clients concernés et les mots de passe des utilisateurs concernés ont été réinitialisés.”
La société n’a pas répondu aux questions de WIRED par le temps de presse sur l’algorithme de hachage qu’elle a utilisé sur les mots de passe ou si l’incident a suscité des évaluations plus larges de l’architecture de gestion des mots de passe de Slack.
“Il est regrettable qu’en 2022 nous voyions encore des bogues qui sont clairement le résultat d’une modélisation des menaces ratée”, déclare Jake Williams, directeur du renseignement sur les cybermenaces chez la société de sécurité Scythe. “Alors que des applications comme Slack effectuent définitivement des tests de sécurité, des bogues comme celui-ci qui n’apparaissent que dans les fonctionnalités de cas extrêmes sont toujours manqués. Et évidemment, les enjeux sont très importants lorsqu’il s’agit de données sensibles comme les mots de passe.
La situation souligne le défi de concevoir des applications Web flexibles et utilisables qui cloisonnent et limitent également l’accès aux données de grande valeur comme les mots de passe. Si vous avez reçu une notification de Slack, modifiez votre mot de passe et assurez-vous que l’authentification à deux facteurs est activée. Vous pouvez également afficher les journaux d’accès de votre compte.