Dans les bureaux de Slack à San Francisco (la forme sur la droite n'est pas le résultat d'une attaque informatique). | Slack
Dans les bureaux de Slack à San Francisco (la forme sur la droite n'est pas le résultat d'une attaque informatique). | Slack

Slack, une nouvelle porte dérobée pour le cyberespionnage

Avant son entrée en bourse, la messagerie star prévient: des acteurs hostiles pourraient profiter de failles pour attaquer ou espionner.

La Nasa, Lyft, Oracle, le Times, IBM, la 21st Century Fox, Target, le New York Times: un rapide coup d'œil au site officiel de Slack, la star des messageries d'entreprise, suffit pour comprendre à quel point la plateforme lancée en 2014 est devenue omniprésente dans les communications internes des firmes du monde entier.

C'est bien sûr pour elle une force –c'est aussi une très belle opportunité pour toutes celles et tous ceux qui aimeraient, de manière inopportune, aller jeter un œil non autorisé à ce qui s'y échange à longueur de journée.

Une cible idéale et lucrative

Prévoyant une cotation directe sur le New York Stock Exchange, valorisée selon les expert·es à près de 10 milliards de dollars, la firme a été dans l'obligation de transmettre en amont sa notice à la SEC (Securities and Exchange Commission, le gendarme de Wall Street), comme la loi le prévoit. En parallèle à diverses informations financières de rigueur, Slack a aussi dû y expliquer quelles menaces techniques pouvaient planer sur la sécurité de sa messagerie.

Si elle fait une liste à la Prévert 2.0 des attaques auxquelles sont habituellement soumises les entreprises (virus ou malwares, ransomware, vols de données ou de mots de passe, etc.), Slack a également décidé de mettre en avant les menaces que peuvent constituer «des organisations criminelles organisées, des États-nations, des acteurs soutenus par des États-nations».

En clair: compte tenu de la sensibilité des informations qui transitent sur la plateforme, les pirates du dimanche ne seront pas les seul·es à essayer d'outrepasser ses protections. Placé dans le cloud, facilement connectable à de nombreux systèmes externes (Google Drive, Office 365, GitHub, Salesforce, etc.) et n'offrant pas de cryptage de bout en bout, le tuyau est trop unique et la cible trop évidente. Toute organisation n'ayant pas suffisamment bouclé sa sécurité ou formé ses personnels risque des attaques massives coûteuses et dommageables –pour elle comme, potentiellement, pour l'État dont elle dépend.

Who uses Slack all the time to talk about sensitive projects? Journalists and activists. Who knows this? Nation state actors. https://t.co/7BrUWfmuEX

Comme le note la spécialiste en cybersécurité Eva Galperin, accéder aux conversations entre journalistes ou activistes pourrait ainsi être considéré comme une richesse infinie pour certains régimes –qu'ils soient autoritaires ou non. De la même manière, mettre la main sur d'importants secrets industriels trop légèrement transmis via Slack pourrait, pour tout groupe hostile, constituer une mine d'or infinie pour de futures juteuses rançons.

En ce moment

Le remdesivir, médicament douteux mais gros profits

Biz

Le remdesivir, médicament douteux mais gros profits

La molécule de Gilead lui a rapporté 873 millions de dollars, malgré une efficacité contestable.

Quel gouvernement pour Mars?, l'IPO record d'Ant Group, Apple se plante, une journée sur korii.

Et Cætera

Quel gouvernement pour Mars?, l'IPO record d'Ant Group, Apple se plante, une journée sur korii.

Ce qu'il fallait lire aujourd'hui.

Elon Musk veut (littéralement) faire la loi sur Mars

Et Cætera

Elon Musk veut (littéralement) faire la loi sur Mars

Selon le patron de SpaceX, une fois colonisée, la planète rouge n'obéira à aucune loi ou gouvernement terrien.