Triste début d'année pour la sécurité informatique. Les attaques et des fuites de données se multiplient, parfois de manière inquiétante avec Labio.fr, ou de manière plus insolite avec la SNCF. C'est désormais au tour de Slack d'en faire les frais, avec des accès frauduleux à sa base de données utilisateurs.
Slack est un outil de communication que l'on retrouve chez certaines entreprises et qui jouit d'une bonne popularité en ce moment. Alors que la société dispose enfin d'un client Windows et qu'elle chercherait à lever de nouveaux fonds, elle annonce la mise en place de la double authentification... mais avec quelques tracas possibles sur mobile. Des utilisateurs, notamment ceux qui exploitent un SSO ou qui ne se sont pas connectés depuis août dernier, devront en effet se reconnecter à leur équipe. Rien de bien grave en somme.
Slack piraté, des données personnelles dans la nature...
Mais Slack précise que, malgré ces « quelques petits défauts » qui étaient encore présents, elle souhaitait tout de même sortir cette mise à jour « dès que possible ». Pourquoi un tel empressement ? Simplement car la société a récemment été victime d'un piratage. « Nous sommes depuis peu en mesure de confirmer qu'il y a eu un accès non autorisé à une base de données stockant des informations sur les profils utilisateurs », et ce, durant quatre jours environ en février, comme l'explique Slack sur son blog.
« Dans le cadre de notre enquête, nous avons détecté qu'une activité suspecte n'affecte qu'un très petit nombre de comptes », sans donner plus de détails. Les personnes potentiellement touchées ainsi que les responsables des entreprises concernées ont été contactés individuellement par Slack.
... mais heureusement les mots de passe étaient chiffrés et salés
La base de données visitée contient les noms, adresses email, ainsi que des informations optionnelles comme le numéro de téléphone et l'identifiant Skype. Les mots de passe étaient également accessibles, mais Slack précise qu'ils sont hachés et salés via la fonction bcrypt, ce qui rend « mathématiquement impossible la récupération du mot de passe à partir de sa forme hachée ». Un moindre mal donc pour Slack et ses clients, mais tout de même un coup dur pour la jeune pousse qui grimpe.
Quoi qu'il en soit, des tests ont été menés afin de s'assurer que Slack était désormais correctement sécurisé et la police a bien évidemment été avertie de cette intrusion, mais sans préciser si une plainte avait été déposée. Sachez enfin que, en plus de la double authentification, Slack propose désormais une option Password Kill Switch qui, comme son nom l'indique, permet de réinitialiser tous les mots de passe et de déconnecter tous les membres d'une équipe.
