Slack & Hack : ce que vous devez savoir sur les vulnérabilités de sécurité des outils de collaboration
Slack, un outil de collaboration en ligne populaire, a été piraté, entraînant l’exposition de 500 000 adresses e-mail et autres données de compte personnel. Bien que les mots de passe restent sécurisés, les utilisateurs sont encouragés à prendre des mesures.
Qu’est-ce que la détente ?
Slack, un outil de collaboration qui est essentiellement une collection de salons de discussion définis par l’utilisateur prenant en charge le partage de fichiers et la messagerie privée, a été lancé en août 2013 et a attiré 8 000 inscriptions dans les 24 heures suivant son lancement. Idéal pour les petites équipes plutôt que pour les grands départements, le service propose également des intégrations avec d’autres outils tels que Google Docs et Dropbox.
Ce n’est pas le genre d’outil que vous utiliseriez normalement à la maison, mais si vous travaillez dans un bureau où vous avez besoin d’un bon logiciel de gestion de projet et que vous voulez rendre la communication au sein de votre équipe plus efficace, peu importe que vos collègues soient regroupés au bureau ou existent en tant qu’équipe distribuée (également appelées équipes virtuelles, c’est-à-dire des équipes de personnes réparties dans le monde entier), alors Slack est un bon choix.
Slack est disponible dans votre navigateur et en tant qu’application mobile pour iOS et Android. Le client de bureau officiel est disponible pour Windows et Mac OS X, et il existe également une version Linux non officielle.
Brèche de sécurité lâche
Slack a probablement été ciblé grâce à une récente évaluation du marché de 2,76 milliards de dollars et aux nouvelles selon lesquelles 135 000 de ses 500 000 utilisateurs paient pour utiliser le service ou font payer les employeurs en leur nom.
Faire une vidéo du jour
La brèche s’est produite en février et a duré quatre jours. Slack a déclaré à The Verge : « La base de données contenant l’historique des messages de l’équipe n’a pas été consultée dans le cadre de la violation. Aucune information de paiement n’a été exposée… »
Fait intéressant, ce n’est pas la première fois que Slack est pris en flagrant délit de sécurité. Un bogue a été signalé en octobre 2014 qui permettait aux visiteurs qui n’étaient pas connectés au site de voir les noms des canaux (salles de discussion) utilisés par une entreprise particulière.
Ainsi, étant donné que les messages de l’équipe sont restés confidentiels (ce qui aurait pu sauver beaucoup de clients déjà désemparés pour Slack), l’attaque s’est concentrée sur les détails de l’utilisateur, tels que l’adresse e-mail utilisée pour se connecter, et d’autres informations de profil, telles que les noms d’utilisateur Slack, numéro de téléphone, données de profil et nom de compte Skype.
Qu’en est-il du mot de passe ?
Slack soutient que les mots de passe divulgués ne peuvent pas être déchiffrés par des intrus car ce sont des « mots de passe cryptés à sens unique (« hachés ») ».
Plus d’explications:
« Nous n’avons aucune indication que les pirates ont pu décrypter les mots de passe stockés car Slack utilise une technique de cryptage à sens unique appelée hachage. »
Notamment, Slack a géré l’affaire efficacement et n’a divulgué aucune information sur l’attaque avant de communiquer avec les personnes concernées. Donc, si vous n’avez pas encore entendu parler de Slack, il est peu probable que vous soyez affecté.
Cependant, le fait que ces mots de passe soient hachés ne signifie pas qu’ils ne peuvent pas être déchiffrés par les bons outils.
Prendre des mesures pour sécuriser Slack
En réponse à l’attaque, Slack a introduit deux nouvelles fonctionnalités. La première consiste à donner aux administrateurs un commutateur de réinitialisation commun, obligeant ainsi tous les utilisateurs d’une équipe particulière à réinitialiser leurs mots de passe. Cela atténuera tout problème de sécurité immédiat.
À long terme, cependant, la réponse se trouvera sans aucun doute dans l’authentification à deux facteurs, que Slack a également introduite.Pour activer cette fonctionnalité, vous devez vous connecter à votre compte Slack, cliquer sur Statut dans le coin inférieur gauche et sélectionner Votre profil > Modifier le profil. passer d’ici à d’installation et expansion cette Authentification à deux facteurs partie.
Ajoutez votre mot de passe Slack actuel, cliquez sur Activer l’authentification à deux facteurs et vous verrez des instructions ici pour scanner le code-barres avec l’application d’authentification de votre choix (la capture d’écran ci-dessous provient de Google Authenticator, mais vous pouvez également utiliser Duo pour Android ou iPhone, ou Windows Phone Authenticator).
Ensuite, passez à l’application d’authentification sur votre smartphone et scannez le code-barres à l’aide de l’option des paramètres du compte. Un code de vérification apparaîtra, que vous devrez entrer dans une case sur le site Web de Slack pour activer l’authentification à deux facteurs.
A noter que dix codes de secours sont également affichés en cas de perte de votre smartphone. Si cela se produit, connectez-vous à Slack avec un code de secours.
Plus d’authentification à deux facteurs, s’il vous plaît !
Une fois attrapé, Slack devrait être applaudi pour sa rapidité et son efficacité dans la gestion des infractions. Bien que cela se soit produit en février, la première réponse de l’entreprise a été de contacter les titulaires de compte concernés.
Fait intéressant, Slack prévoit déjà d’introduire l’authentification à deux facteurs, mais ce que cet incident nous dit vraiment, c’est que 2FA devrait être en place pour tous les comptes en ligne. Cela a du sens même si toute la configuration de l’authentification à deux facteurs pourrait être simplifiée.
Vous êtes concerné par une vulnérabilité Slack ? Êtes-vous frustré par le manque d’authentification à deux facteurs pour les services que vous utilisez ? Faites le nous savoir.
Crédits image: Hache coupant du bois via Shutterstock, Femme avec ordinateur portable via PlaceIt, JC713
A propos de l’auteur
