Slack a immédiatement appliqué un correctif et envoyé à tous les utilisateurs concernés une notification leur demandant de réinitialiser leur mot de passe.
Selon Slack, le problème réside dans la demande d’un lien de réinitialisation du mot de passe. Lorsqu’un utilisateur crée ou refuse un tel lien, votre mot de passe est visible. Heureusement pas en texte brut, ce serait dramatique, mais haché (hashed) et salé (salted).
Selon Slack, il est presque impossible d’extraire un mot de passe d’une telle combinaison. Cependant, les pirates peuvent utiliser des méthodes de force brute pour extraire le mot de passe. Le problème existe depuis le 17 avril 2017 et a été atténué le 17 juillet 2022.
Slack affirme qu’à peine 0,5 % de ses utilisateurs sont concernés. Cela ne paraît pas énorme, sauf si l’on sait que la plate-forme de communication comptait encore 12 millions d’utilisateurs actifs quotidiens en 2020. Cela signifie qu’environ 600 000 utilisateurs ont été touchés. Salesforce, la société mère, ne divulgue pas le nombre d’utilisateurs qui utilisent activement Slack aujourd’hui. Ce dernier a pris le contrôle de Slack à la fin de l’année 2020.
Réinitialisation du mot de passe pour chaque utilisateur touché
Les chercheurs de sécurité ont contacté Slack le 17 juillet 2022 pour signaler l’erreur. La plate-forme de communication a pris des mesures immédiates avant de déterminer l’ampleur de l’impact. « Nous n’avons aucune raison de croire que quelqu’un a pu extraire des mots de passe en texte clair à cause de ce problème », affirme Slack.
Malgré cette affirmation, elle a néanmoins réinitialisé les mots de passe de tous les utilisateurs concernés, par mesure de sécurité. Slack recommande également d’activer l’AMF et de toujours utiliser des mots de passe uniques.
Par précaution, nous recommandons aux équipes informatiques d’examiner les journaux d’accès des utilisateurs concernés.