Pour gérer vos consentements :

Slack Connect : marche arrière sur les messages privés

Face à la levée de boucliers, Slack a cédé. L’épisode s’est déroulé ce mercredi. En toile de fond, l’extension des capacités de communication par message direct entre membres de différentes organisations.

Jusqu’alors, ces personnes ne pouvaient échanger ainsi qu’à condition de se trouver dans un canal interentreprises mis en place avec Slack Connect. Depuis hier, la barrière est levée, comme promis à l’automne dernier.

Pendant la phase expérimentale, nombre d’utilisateurs avaient publiquement interpellé Slack quant aux risques d’abus. En particulier au travers des messages joignables à une invitation. Pour réponse, l’éditeur mettait en avant le contrôle donné aux propriétaires et aux administrateurs des canaux et des organisations. Ainsi que des garde-fous comme le blocage de certains formats de fichiers – aussi bien dans les DM que dans les canaux partagés.

Dans la pratique, les garde-fous se sont révélés insuffisants. Slack l’a en tout cas lui-même reconnu, par la voie de son dircom. Et a pris une mesure en conséquence : supprimer la possibilité de personnaliser les messages joints aux invitations.

Slack Connect, vecteur de spam ?

Tout utilisateur d’une version payante de Slack* peut envoyer de telles invitations… à tous les autres, y compris ceux qui sont sur la version gratuite. Il suffit de connaître l’adresse électronique associée à leur compte Slack.
Que le destinataire de l’invitation l’accepte ou non, il en est notifié dans sa boîte mail. Avec en prime – jusqu’à ce que Slack le supprime – l’éventuel message personnalisé. Une porte grand ouverte aux actions malveillantes, du phishing au harcèlement.

Il est délicat de bloquer l’adresse qui expédie ces notifications (feedback@slack.com), car elle en envoie d’autres types. On aurait pu penser que Slack mettrait à disposition un mécanisme natif de blocage ou de signalement, mais ce n’est pas le cas. De manière générale, le blocage de membres n’est pas sur la feuille de route.

À vous les admins

Tout comme la création de canaux partagés, les invitations à discuter par DM sont actives par défaut, d’après l’aide en ligne de Slack. Il appartient aux propriétaires et aux administrateurs d’en restreindre éventuellement l’usage. À leur disposition (sur les versions payantes), plusieurs options :

  • Couper entièrement la fonctionnalité
  • Choisir qui peut envoyer des invitations
  • Interdire les invitations provenant d’organisations non vérifiées (à condition d’être soi-même vérifié)

Slack Connect doit faire l’objet d’une autre extension pour fin 2021. Elle permettra de créer des « réseaux privés » d’entreprises. À la clé, des dossiers unifiés, des apps partagées, un moteur de recherche commun, etc.

* Y compris des versions d’essai des forfaits payants. Ce qui augmente d’autant les risques d’usage abusif.

Illustration principale © Slack

Recent Posts

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésentent les ESN et éditeurs de logiciels en France, a précisé sa feuille…

15 heures ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

16 heures ago

Performance applicative : pas d’analyse sans observabilité ?

Cette année, le Magic Quadrant de l'APM (gestion de la performance applicative) englobe officiellement l'observabilité.…

18 heures ago

Cloud : comment protéger l’Europe de lois à portée extraterritoriale

Arbitrons en faveur d'un niveau élevé de sécurité dans le cadre du schéma européen de…

20 heures ago

JavaScript change de licence : un alignement sur le W3C

Fraîchement adopté, la spécification ECMAScript 2022 adopte une licence plus permissive qui l'aligne sur celle…

23 heures ago

Ecrans PC : l’accalmie avant la tempête ?

La demande des entreprises stabilise les ventes mondiales d'écrans pour PC. Mais la fin d’un…

2 jours ago