Slack réinitialise les mots de passe d’utilisateurs touchés par un piratage il y a 4 ans
Aucune firme n’est à l’abri d’un piratage, aussi importante soit-elle. L’histoire informatique nous l’a appris lorsque des géants comme Facebook, Twitter, Google ou Instagram ont dû y faire face. Et ce n’est pas Slack qui va dire le contraire face à sa récente communication sur son site. Il semblerait que le service de messagerie ait dû réinitialiser plusieurs mots de passe suite à un piratage ayant eu lieu en 2015, il y a quatre ans.
À l’époque, Slack – qui était moins important qu’aujourd’hui – avait déjà communiqué sur cette attaque. Mais il semblerait que ce dernier ait sous-estimé sa portée et soit obligé d’agir aujourd’hui.
C’est à travers son programme bug bounty, permettant de rapporter les failles, que ce vol de mots de passe a poussé Slack à réagir de nouveau quatre ans après les faits.
Autant dire que si vous êtes concerné, il faudra changer votre mot de passe fissa !
Une attaque vieille de quatre ans signe son retour
En 2015, des pirates avaient pu avoir accès à la base de données de Slack, récupérant au passage les mots de passe des utilisateurs. Face à cette attaque, Slack a renforcé son système avec une double authentification. Le problème semblait alors réglé… jusqu’à aujourd’hui. Car la faille refait parler d’elle à travers le bug bounty du service de messagerie, permettant de rapporter les erreurs.
Slack a reçu un rapport expliquant que les mots de passe récupérés en 2015 n’étaient pas cryptés. Les utilisateurs de cette époque, qui utilisent encore la messagerie, voient donc leurs comptes pouvant être détournés par n’importe qui ayant accès aux identifiants. Slack a donc rapidement communiqué sur cette attaque et décidé de réinitialiser le mot de passe des personnes touchées : la meilleure décision face à un cas de force majeure.
Les utilisateurs touchés ont donc été notifiés par Slack et devront créer un nouveau mot de passe pour de nouveau se connecter au service de messagerie. Ce sont les comptes actifs en 2015, au mois de mars, qui sont concernés par cette réinitialisation.
La meilleure solution reste, pour les personnes touchées, d’utiliser la double authentification en plus d’un mot de passe fort.
C’est rigolo car je me rappelle qu’Orange avait fait pareil en conseillant/imposant ses membres de changer de mot de passe quand on se connectait… Sauf qu’ils expliquaient pas les raisons exactes. Juste que le mot de passe était trop faible et qu’il pouvait représenter un moyen de se faire voler le compte.
Mais bon, en réalité c’était lié au piratage où ils s’étaient fait voler plusieurs centaines de milliers de comptes en 2014.