Face à la levée de boucliers, Slack a cédé. L’épisode s’est déroulé ce mercredi. En toile de fond, l’extension des capacités de communication par message direct entre membres de différentes organisations.
Jusqu’alors, ces personnes ne pouvaient échanger ainsi qu’à condition de se trouver dans un canal interentreprises mis en place avec Slack Connect. Depuis hier, la barrière est levée, comme promis à l’automne dernier.
Pendant la phase expérimentale, nombre d’utilisateurs avaient publiquement interpellé Slack quant aux risques d’abus. En particulier au travers des messages joignables à une invitation. Pour réponse, l’éditeur mettait en avant le contrôle donné aux propriétaires et aux administrateurs des canaux et des organisations. Ainsi que des garde-fous comme le blocage de certains formats de fichiers – aussi bien dans les DM que dans les canaux partagés.
Dans la pratique, les garde-fous se sont révélés insuffisants. Slack l’a en tout cas lui-même reconnu, par la voie de son dircom. Et a pris une mesure en conséquence : supprimer la possibilité de personnaliser les messages joints aux invitations.
Tout utilisateur d’une version payante de Slack* peut envoyer de telles invitations… à tous les autres, y compris ceux qui sont sur la version gratuite. Il suffit de connaître l’adresse électronique associée à leur compte Slack.
Que le destinataire de l’invitation l’accepte ou non, il en est notifié dans sa boîte mail. Avec en prime – jusqu’à ce que Slack le supprime – l’éventuel message personnalisé. Une porte grand ouverte aux actions malveillantes, du phishing au harcèlement.
Il est délicat de bloquer l’adresse qui expédie ces notifications (feedback@slack.com), car elle en envoie d’autres types. On aurait pu penser que Slack mettrait à disposition un mécanisme natif de blocage ou de signalement, mais ce n’est pas le cas. De manière générale, le blocage de membres n’est pas sur la feuille de route.
Tout comme la création de canaux partagés, les invitations à discuter par DM sont actives par défaut, d’après l’aide en ligne de Slack. Il appartient aux propriétaires et aux administrateurs d’en restreindre éventuellement l’usage. À leur disposition (sur les versions payantes), plusieurs options :
Slack Connect doit faire l’objet d’une autre extension pour fin 2021. Elle permettra de créer des « réseaux privés » d’entreprises. À la clé, des dossiers unifiés, des apps partagées, un moteur de recherche commun, etc.
* Y compris des versions d’essai des forfaits payants. Ce qui augmente d’autant les risques d’usage abusif.
Illustration principale © Slack
Numeum, qui réprésentent les ESN et éditeurs de logiciels en France, a précisé sa feuille…
OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…
Cette année, le Magic Quadrant de l'APM (gestion de la performance applicative) englobe officiellement l'observabilité.…
Arbitrons en faveur d'un niveau élevé de sécurité dans le cadre du schéma européen de…
Fraîchement adopté, la spécification ECMAScript 2022 adopte une licence plus permissive qui l'aligne sur celle…
La demande des entreprises stabilise les ventes mondiales d'écrans pour PC. Mais la fin d’un…
