Présentée en octobre par Slack pour une livraison début 2021, la fonctionnalité Connect DM devait permettre aux utilisateurs de la solution de collaboration professionnelle d’envoyer des messages directs à d’autres utilisateurs de l’outil qu’ils ne connaissent pas et qui peuvent être à l’extérieur de l’entreprise. A peine la fonctionnalité était-elle lancée hier qu’elle était déjà sujette à caution en raison du détournement possible de son utilisation. Très rapidement, des utilisateurs ont en effet démontré la facilité avec laquelle il était possible de passer par Connect DM pour envoyer des spams et autres messages indésirables pouvant rapidement devenir abusifs et déboucher potentiellement sur du harcèlement.
Slack (racheté par Salesforce à la fin 2020 pour 27,7 milliards de dollars) n’a pas tardé à reconnaître le problème et indiqué qu’il prenait immédiatement des mesures pour empêcher ces abus. Première étape, l'éditeur basé à San Francisco « enlève la possibilité de personnaliser un message quand un utilisateur invite quelqu’un vers Slack Connect DMs », a indiqué Jonathan Prince, vice-président de la société, responsable la communication, dans une réponse à nos confrères de The Verge.
La fonctionnalité ne se désactive pas au niveau utilisateur
DM, pour Direct Message, est une fonctionnalité intégrée à l’outil Slack Connect. Ce dernier permet à une entreprise de travailler avec des personnes extérieures à l’entreprise en regroupant au même endroit les conversations échangées avec les partenaires, fournisseurs et clients qui ne sont ainsi plus isolées dans des mails séparés, argumente l'éditeur. Dans ce contexte, l’utilisateur d’un compte professionnel Slack peut envoyer un message direct à un autre utilisateur dès lors qu’il a son adresse email. Ce message est attaché à une invitation qu’il n’était pas possible de bloquer. « Les emails ne peuvent pas être bloqués parce qu’ils viennent d’une adresse Slack générique qui vous informe de l’invitation », a immédiatement averti un collaborateur de Twitter, Menotti Minutillo, en pointant les risques de dérive. Le pire étant que l'utilisateur ne pouvait pas désactiver la fonctionnalité Connect DM, sa désactivation se faisant au niveau de l'entreprise.
Cela ne concerne que les comptes entreprises de Slack, l’outil Connect n’étant pas disponible sur la version gratuite. Même si Slack fait amende honorable et intervient pour rectifier le tir, beaucoup s’étonnent que l’éditeur californien n’ait pas compris dès le départ que la façon dont la fonctionnalité était mise en oeuvre risquait d’être détournée à des fins abusives.
Commentaire