Une faille dans Slack offre aux pirates un accès complet à des comptes

21/10/16 à 13:46 - Mise à jour à 13:46

Un chercheur en sécurité a découvert une brèche dans Slack, qui fait en sorte que des pirates puissent s'emparer d'un compte sur la simple base d'un nom d'utilisateur.

Une faille dans Slack offre aux pirates un accès complet à des comptes

. © .

La brèche a entre-temps été comblée, après que le chercheur en sécurité David Vieira-Kurz l'ait signalée. Concrètement, il s'agissait d'une double faille qui permettait d'accéder à un panneau d'administration. De là, il était possible au moyen de métadonnées sur des utilisateurs de contrôler l'environnement Slack, ce qui permettait en fin de compte de réinitialiser des mots de passe de comptes Slack, une fois que l'on était en possession des noms d'utilisateur de ceux-ci. Le pirate pouvait ainsi remplacer un mot de passe, voire s'emparer d'un compte.

La double faille a finalement coûté 7.000 et 2.000 dollars à Slack. Sur son site web, Vieira-Kurz a posté l'histoire complète. Il y indique aussi qu'un problème de sécurité apparemment trivial peut avoir de sérieuses conséquences.

En savoir plus sur:

Nos partenaires