Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Des milliers de groupes Slack vulnérables via leurs bots

Hack of the week Partager son code source c'est bien, mais sans permettre à tout le monde d'accéder à des informations confidentielles, c'est mieux. Des milliers de groupes de discussion Slack, sur lesquels peuvent transiter des informations très sensibles, ont été compromis car leurs développeurs ont posté publiquement sur Internet du code source contenant des accès.

Twitter Facebook Linkedin Flipboard Email
×

Des milliers de groupes Slack vulnérables via leurs bots
Des milliers de groupes Slack vulnérables via leurs bots © Igor Stevanovic

Dans un billet de blog publié le 28 avril, Detectify révèle que des milliers de groupes Slack (le service de chat en vogue en entreprise) sont vulnérables au travers de leurs bots (agents conversationnels automatisés). La faute en revient aux développeurs, qui en postant le code source de leurs bots Slack sur le répertoire open source GitHub y laissent leurs tokens (jetons d'authentification). Conséquence : n'importe quel malfaiteur peut réutiliser ces jetons pour s'infiltrer sur les groupes de travail concernés et aspirer leurs données, qui peuvent contenir des informations très sensibles.

 

Sont concernées notamment de nombreuses grandes entreprises, membres du Fortune 500 et/ou acteurs majeurs de la finance ou de la santé. Les chercheurs ont communiqué leurs travaux à Slack en amont de leur publication, et l'éditeur a assuré qu'il surveillera activement les plates-formes de partage comme Github pour minimiser l'impact de ce genre d'incident à l'avenir. Slack a précisé que tous les tokens en cause communiqués par Detectify ont été révoqués, et les clients concernés prévenus.

 

Un problème bien connu et très répandu

Malgré cela, un article d'Ars Technica explique que des recherches sur GitHub sur des chaînes de caractères liées à ces jetons retournent encore plus de 11500 résultats préoccupants. Et de nouveaux tokens sont publiés chaque jour, dès qu'un développeur soumet son code sans prendre de précautions. Malheureusement, ce type d'erreur n'est pas rare, et ne concerne pas que Slack. En mars dernier, une étourderie similaire avait fait fuiter les informations de 50 000 chauffeurs Uber, et des centaines d'autres applications et services sont concernés.

 

Le problème étant que même lorsqu'une entreprise se veut proactive, comme Slack, un hacker mal intentionné pourra toujours s'emparer des informations à mesure qu'elles apparaissent et avant qu'elles ne soient effacées. La vraie solution serait que les développeurs fassent plus attention, et surtout que les données d'authentification soient toujours bien séparées du reste du code.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale