Robots personnalisés déconnectés et la sécurité de l’équipe

Que s’est-il passé ?

Le 23 décembre 2015, nous avons déconnecté certains bots personnalisés, créés par des utilisateurs dont les comptes avaient été désactivés. Cela pour protéger le contenu des espaces de travail Slack dans lesquels les bots avaient été activés.

Un bot personnalisé est une application (comme un robot, un utilisateur non humain) dans votre espace de travail. Les membres peuvent interagir avec celui-ci comme avec tout autre membre. Il doit être configuré par un utilisateur humain comme toute autre intégration d'un espace de travail Slack. Lorsque cet utilisateur humain est désactivé, le bot personnalisé est censé lui aussi disparaître et ne plus avoir accès ni à votre espace de travail ni à son contenu. Nous avons reçu un rapport de bogue révélant que cela ne se produisait pas comme prévu. Lorsque nous avons examiné nos systèmes, nous avons découvert que des bots personnalisés d'autres espace de travail restaient activés alors qu'ils n'auraient pas dû.

Nous avons aucune raison de penser que quiconque ait profité de cette situation pour lire des messages auxquels il n'aurait pas dû avoir accès (ou que quiconque ait été au courant de ce problème), mais il nous est impossible d’exclure cette éventualité. Nous prenons la sécurité des comptes très au sérieux. C'est pourquoi nous avons pris des mesures très rapidement pour désactiver ces bots et en avons informé toutes les espaces de travail Slack concernés.

 

Combien d'espaces de travail sont concernées ?

Environ 0,05 % des espaces de travail Slack ont été identifiés comme ayant un bot personnalisé actif, associé à un utilisateur désactivé. Ces robots ont été désactivés et nous avons envoyé des notifications aux équipes concernées. Ces bots personnalisés ont été désactivés et nous en avons notifié les espaces de travail concernés.

 

Comment avez-vous découvert l’incident ?

Nous nous sommes aperçus de cette erreur grâce à un rapport d'erreur envoyé par un utilisateur. Slack a mis en place un programme « Bug Bounty » qui encourage les utilisateurs à nous signaler toute erreur ici : https://slack.com/report-vulnerability.

 

Combien de temps vous a-t-il fallu pour en informer les espaces de travail concernées ?

Nous avons travaillé d'arrache-pied à partir du moment où nous avons été informés de ce problème, afin de déterminer quels espaces de travail avaient été affectés. Notre objectif a été de communiquer le plus rapidement possible tout en veillant à ce que nos faits soient exacts. Nous avons reçu un rapport d'utilisateur le vendredi 18 décembre que nous avons commencé à analyser. À la suite de cette analyse, nous avons lancé un audit des intégrations de bots personnalisés sur Slack, qui s'est terminé le lundi 21 Décembre 2015 au soir. Nous en avons informé les équipes concernées dans un délai de 36 heures suivant la fin de l'audit.

 

À quel type de contenu les utilisateurs désactivés ont pu avoir accès ?

Les utilisateurs désactivés ont pu avoir accès au contenu auquel le robot avait accès. Mais il est important de noter que même si c’est techniquement possible, nous n’avons pas de raison de penser que quelqu’un ait profité de ces circonstances pour lire des messages auxquels il n'aurait pas dû avoir accès (ni que quiconque ait eu vent de cette situation). Néanmoins, il est impossible d’écarter totalement cette éventualité.

 

Quelle est la politique de Slack concernant la surveillance de la sécurité des intégrations, y compris les robots ?

Pour les applications Slack qui figurent dans la liste des applications, notre équipe d’assistance clients travaille avec le responsable de la politique pendant le processus d’examen. Au tout début du processus, avant d’ajouter l'application à la liste, nous examinons et vérifions les champs OAuth de toutes les applis. Nos utilisateurs peuvent également signaler des applications figurant dans la liste s'ils rencontrent des difficultés ou des problèmes.

Dans le cas des bots personnalisés, nous avons traité le problème qui permettait aux utilisateurs désactivés d'accéder à des bots personnalisés qui n'avaient pas été correctement désactivés. Pour ajouter un niveau de sécurité supplémentaire, les administrateurs des espaces de travail peuvent modifier leurs paramètres pour sélectionner quels utilisateurs seront autorisés à ajouter des bots personnalisés à l’équipe.

Articles associés

Articles consultés récemment