Slack demande à des utilisateurs de changer leurs mots de passe suite à une faille

L'app a mal protégé les mots de passe pendant un mois

 

Slack encourage certains utilisateurs Android à changer leur mot de passe après que son application a enregistré les mots de passe en texte clair pendant un mois.

Certains utilisateurs de Slack ont reçu un email, à première vue douteux, leur demandant de réinitialiser leur mot de passe. Bien que ce message s’apparente à du hameçonnage, il est bien envoyé par la société de messagerie, suite à une faille de sécurité.

Un exemple d’email envoyé par Slack

Un exemple d’email envoyé par Slack // Source : Android Police

Une faille neutralisée

Dans cet email, la société explique que la version Android de son l’application publiée le 21 décembre 2020 a, par erreur, enregistré certains mots de passe en clair — en texte clair sans chiffrement –, compromettant ainsi la sécurité des utilisateurs. La faille a été comblée le 21 janvier 2021 et la version en cause est désormais inutilisable.

Il a fallu ensuite presque trois semaines pour que Slack identifie les utilisateurs concernés pour les notifier individuellement. Peu de comptes semblent avoir été impactés, notamment car beaucoup d’utilisateurs se connectent en utilisant une connexion SSO, comme celle de Google ou de leur entreprise. Slack nous précise par mail :

 Le vendredi 5 février, nous avons informé un petit sous-ensemble d’utilisateurs de Slack’s Android que nous avions réinitialisé leurs mots de passe en réponse à un bogue qui enregistrait les informations d’identification en texte clair. Cette réinitialisation ne concernait qu’un petit sous-ensemble d’utilisateurs Android (moins de 1%) qui avaient entré leur mot de passe entre le 11 janvier 2021 et le 20 janvier 2021. La plupart des utilisateurs de téléphones portables se connectent peu fréquemment, donc la grande majorité de nos utilisateurs Android n’ont pas été touchés. Les utilisateurs qui se connectent via un fournisseur de connexion unique (SSO) n’ont pas été touchés du tout.

Slack a pris cette mesure avec beaucoup de prudence, même si le risque d’exposition de ces mots de passe enregistrés était très faible et qu’il n’y a aucune preuve d’un accès non autorisé ou de tiers aux comptes touchés. Les mots de passe ont été enregistrés dans les journaux locaux du dispositif qui ne sont visibles que par l’application Slack sur le dispositif. Sur un appareil Android qui fonctionne correctement, il n’y a aucun risque que d’autres applications puissent voir ces journaux. De plus, l’espace pour ces journaux est limité à 512KB et ils peuvent être écrasés rapidement.

Les personnes concernées sont également invitées à effacer les données de l’application sur leur mobile, s’assurant ainsi que le mot de passe n’est plus stocké sur l’appareil.

Si vous avez été contacté par Slack, il est également recommandé de changer votre mot de passe sur d’autres sites, dans le cas où vous utiliseriez le même.

La version gratuite de LastPass ne permet plus la synchronisation entre PC et smartphones. Il existe d’excellents gestionnaires de mots de passe permettant de conserver, à un seul et même endroit, la totalité de vos…
Lire la suite

Les derniers articles