Les développeurs de centaines d'entreprises ont déposé sur GitHub les jetons d'accès à leurs comptes Slack en même temps que leurs projets publics, jetons qui pourraient être utilisés pour suivre les sessions de chat de leurs équipes et compromettre d'autres données sensibles. En raison de sa polyvalence, la plateforme de communication collaborative et de gestion de projets Slack est devenue l'un des outils de collaboration et de communication interne les plus populaires des entreprises. L'API de la plate-forme permet aux utilisateurs de développer des bots capables de répondre à des commandes ou de poster le contenu des services externes directement dans les canaux Slack. Autrement dit d’automatiser facilement des tâches diverses.
Beaucoup de développeurs déposent le code de leurs robots Slack - parfois, celui de petits projets personnels - sur GitHub, mais sans supprimer les jetons d'accès aux bots. Certains développeurs incluent même dans le code des jetons privés associés à leurs comptes personnels. Or ces jetons peuvent être utilisés pour accéder aux chats, aux fichiers, aux messages privés, et à d’autres données sensibles partagées par les équipes Slack auxquelles sont affiliés les développeurs ou leurs robots.
Identifiants, messages privés et log-in/mot de passe également trouvés
Les chercheurs de l’entreprise de sécurité web Detectify ont trouvé plus de 1 500 jetons Slack sur GitHub dont certains appartiennent à des équipes d’entreprises variées : organismes financiers, fournisseurs de services Internet, écoles, agences de publicité, journaux et prestataires de soins de santé. En utilisant ces jetons, les chercheurs ont pu s’introduire dans des équipes Slack. Ils ont ensuite trouvé des identifiants de base de données, des messages privés sensibles, des fichiers contenant les logins et mots de passe de plates-formes d'intégration continue et de services internes. « Nous avons également constaté que, au sein des équipes Slack, les personnes s’échangeaient facilement et sans précaution, des informations d'identification », ont déclaré dans un blog les chercheurs de Detectify.
Ce n’est pas la première fois que des jetons d'accès sensibles sont retrouvés dans des projets hébergés sur GitHub. En 2014, un chercheur avait découvert près de 10 000 clefs d'accès à Amazon Web Services et à Elastic Compute Cloud. Toutes ces clefs avaient été « oubliées » par les développeurs dans le code qu’ils avaient déposé dans le référentiel public GitHub. D'autres chercheurs avaient également trouvé des identifiants de bases de données back-end et ceux de services codés en dur de milliers d'applications mobiles, faciles à décompiler et à analyser. « Il ne faut jamais laisser des informations d'identification à l'intérieur du code », ont rappelé les chercheurs de Detectify. « La première chose à faire est de créer un fichier de variables d’environnement spécifique et de ne jamais inclure ce fichier dans le référentiel de code ». Slack permet aux administrateurs de restreindre la création d'applications et les intégrations personnalisées aux seuls membres de son équipe.
Commentaire