Vous vous en souvenez peut-être : en 2015, des pirates avaient accédé à la base de données centrale de Slack, récupérant les informations des comptes, dont les mots de passe chiffrés. À l’époque, le petit service de messagerie instantanée avait mis en place la double authentification et des mesures de sécurité supplémentaires. Aujourd’hui, le géant de la communication en entreprise doit remettre à zéro le mot de passe de dizaines de milliers d’utilisateurs.
En plus de récupérer les données des utilisateurs de Slack, les aigrefins avaient « inséré du code qui leur permettait de récupérer des mots de passe en clair, au moment même où ils étaient entrés par les utilisateurs. » Slack a récemment reçu des informations, par l’intermédiaire de son programme de bug bounty, qui contenaient les mots de passe des utilisateurs qui s’étaient connectés en 2015. En creux, le service de messagerie révèle donc que le piratage était bien plus sérieux qu’il ne pensait.
Slack a donc décidé de remettre à zéro le mot de passe de tous les comptes actifs en mars 2015, sauf si leur mot de passe a déjà été changé ou qu’ils utilisent un service d’authentification unique (SSO). Slack recommande toujours d’activer la double authentification, et d’utiliser un sésame unique généré par un gestionnaire de mots de passe.
