Slack Connect : marche arrière sur les messages privés

Face à la levée de boucliers, Slack a cédé. L’épisode s’est déroulé ce mercredi. En toile de fond, l’extension des capacités de communication par message direct entre membres de différentes organisations.

Jusqu’alors, ces personnes ne pouvaient échanger ainsi qu’à condition de se trouver dans un canal interentreprises mis en place avec Slack Connect. Depuis hier, la barrière est levée, comme promis à l’automne dernier.

Pendant la phase expérimentale, nombre d’utilisateurs avaient publiquement interpellé Slack quant aux risques d’abus. En particulier au travers des messages joignables à une invitation. Pour réponse, l’éditeur mettait en avant le contrôle donné aux propriétaires et aux administrateurs des canaux et des organisations. Ainsi que des garde-fous comme le blocage de certains formats de fichiers – aussi bien dans les DM que dans les canaux partagés.

Security is top-of mind for Slack Connect! Workspace Admins/Owners have ultimate control over if their members can use Slack Connect features and if files can be uploaded in those conversations. You can also use data management features for Slack Connect conversations.

— Slack (@SlackHQ) March 17, 2021

Dans la pratique, les garde-fous se sont révélés insuffisants. Slack l’a en tout cas lui-même reconnu, par la voie de son dircom. Et a pris une mesure en conséquence : supprimer la possibilité de personnaliser les messages joints aux invitations.

Slack Connect, vecteur de spam ?

Tout utilisateur d’une version payante de Slack* peut envoyer de telles invitations… à tous les autres, y compris ceux qui sont sur la version gratuite. Il suffit de connaître l’adresse électronique associée à leur compte Slack.
Que le destinataire de l’invitation l’accepte ou non, il en est notifié dans sa boîte mail. Avec en prime – jusqu’à ce que Slack le supprime – l’éventuel message personnalisé. Une porte grand ouverte aux actions malveillantes, du phishing au harcèlement.

well that was easy as shit to abuse

- send invite with nasty language
- slack emails you w/ the full content of the invite
- can't block the emails because they come from a generic slack address that informs you of invites
- abuser can keep inviting w/ abusive language https://t.co/Mw9W5L251a pic.twitter.com/dWEAD7ccRO

— Menotti Minutillo (@44) March 24, 2021

Il est délicat de bloquer l'adresse qui expédie ces notifications (feedback@slack.com), car elle en envoie d'autres types. On aurait pu penser que Slack mettrait à disposition un mécanisme natif de blocage ou de signalement, mais ce n'est pas le cas. De manière générale, le blocage de membres n'est pas sur la feuille de route.

A feature to block members isn't on our roadmap currently, however we really appreciate you letting us know it's something you'd like to see in future iterations. For now, you can mute DMs with members by using the /mute command in the message input field and hitting enter.

— Slack (@SlackHQ) March 24, 2021

À vous les admins

Tout comme la création de canaux partagés, les invitations à discuter par DM sont actives par défaut, d'après l'aide en ligne de Slack. Il appartient aux propriétaires et aux administrateurs d'en restreindre éventuellement l'usage. À leur disposition (sur les versions payantes), plusieurs options :

• Couper entièrement la fonctionnalité
• Choisir qui peut envoyer des invitations
• Interdire les invitations provenant d'organisations non vérifiées (à condition d'être soi-même vérifié)

Thanks for reaching out Paul! A quick heads up that Slack Connect DMs can be fully deactivated at the workspace level so that setting might be for you! https://t.co/Saxx6a21lt

— Slack (@SlackHQ) March 24, 2021

Slack Connect doit faire l'objet d'une autre extension pour fin 2021. Elle permettra de créer des « réseaux privés » d'entreprises. À la clé, des dossiers unifiés, des apps partagées, un moteur de recherche commun, etc.

* Y compris des versions d'essai des forfaits payants. Ce qui augmente d'autant les risques d'usage abusif.

Illustration principale © Slack