Certains utilisateurs de Slack ont reçu un email, à première vue douteux, leur demandant de réinitialiser leur mot de passe. Bien que ce message s’apparente à du hameçonnage, il est bien envoyé par la société de messagerie, suite à une faille de sécurité.
Une faille neutralisée
Dans cet email, la société explique que la version Android de son l’application publiée le 21 décembre 2020 a, par erreur, enregistré certains mots de passe en clair — en texte clair sans chiffrement –, compromettant ainsi la sécurité des utilisateurs. La faille a été comblée le 21 janvier 2021 et la version en cause est désormais inutilisable.
Il a fallu ensuite presque trois semaines pour que Slack identifie les utilisateurs concernés pour les notifier individuellement. Peu de comptes semblent avoir été impactés, notamment car beaucoup d’utilisateurs se connectent en utilisant une connexion SSO, comme celle de Google ou de leur entreprise. Slack nous précise par mail :
Le vendredi 5 février, nous avons informé un petit sous-ensemble d’utilisateurs de Slack’s Android que nous avions réinitialisé leurs mots de passe en réponse à un bogue qui enregistrait les informations d’identification en texte clair. Cette réinitialisation ne concernait qu’un petit sous-ensemble d’utilisateurs Android (moins de 1%) qui avaient entré leur mot de passe entre le 11 janvier 2021 et le 20 janvier 2021. La plupart des utilisateurs de téléphones portables se connectent peu fréquemment, donc la grande majorité de nos utilisateurs Android n’ont pas été touchés. Les utilisateurs qui se connectent via un fournisseur de connexion unique (SSO) n’ont pas été touchés du tout.
Slack a pris cette mesure avec beaucoup de prudence, même si le risque d’exposition de ces mots de passe enregistrés était très faible et qu’il n’y a aucune preuve d’un accès non autorisé ou de tiers aux comptes touchés. Les mots de passe ont été enregistrés dans les journaux locaux du dispositif qui ne sont visibles que par l’application Slack sur le dispositif. Sur un appareil Android qui fonctionne correctement, il n’y a aucun risque que d’autres applications puissent voir ces journaux. De plus, l’espace pour ces journaux est limité à 512KB et ils peuvent être écrasés rapidement.
Les personnes concernées sont également invitées à effacer les données de l’application sur leur mobile, s’assurant ainsi que le mot de passe n’est plus stocké sur l’appareil.
Si vous avez été contacté par Slack, il est également recommandé de changer votre mot de passe sur d’autres sites, dans le cas où vous utiliseriez le même.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe gratuits et payants ?
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
[…] Dans cet email, la société explique que la version Android de son l’application publiée le 21 décembre 2020 a, par erreur, enregistré certains mots de passe en clair — en texte clair sans chiffrement –, com Copyright for syndicated content belongs to the linked SOURCE […]
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix