Slack Connect : marche arrière sur les messages privés

Face à la levée de boucliers, Slack a cédé. L’épisode s’est déroulé ce mercredi. En toile de fond, l’extension des capacités de communication par message direct entre membres de différentes organisations.

Jusqu’alors, ces personnes ne pouvaient échanger ainsi qu’à condition de se trouver dans un canal interentreprises mis en place avec Slack Connect. Depuis hier, la barrière est levée, comme promis à l’automne dernier.

Slack Connect message direct

Pendant la phase expérimentale, nombre d’utilisateurs avaient publiquement interpellé Slack quant aux risques d’abus. En particulier au travers des messages joignables à une invitation. Pour réponse, l’éditeur mettait en avant le contrôle donné aux propriétaires et aux administrateurs des canaux et des organisations. Ainsi que des garde-fous comme le blocage de certains formats de fichiers – aussi bien dans les DM que dans les canaux partagés.

Dans la pratique, les garde-fous se sont révélés insuffisants. Slack l’a en tout cas lui-même reconnu, par la voie de son dircom. Et a pris une mesure en conséquence : supprimer la possibilité de personnaliser les messages joints aux invitations.

Slack excuses

Slack Connect, vecteur de spam ?

Tout utilisateur d’une version payante de Slack* peut envoyer de telles invitations… à tous les autres, y compris ceux qui sont sur la version gratuite. Il suffit de connaître l’adresse électronique associée à leur compte Slack.
Que le destinataire de l’invitation l’accepte ou non, il en est notifié dans sa boîte mail. Avec en prime – jusqu’à ce que Slack le supprime – l’éventuel message personnalisé. Une porte grand ouverte aux actions malveillantes, du phishing au harcèlement.

Il est délicat de bloquer l’adresse qui expédie ces notifications (feedback@slack.com), car elle en envoie d’autres types. On aurait pu penser que Slack mettrait à disposition un mécanisme natif de blocage ou de signalement, mais ce n’est pas le cas. De manière générale, le blocage de membres n’est pas sur la feuille de route.

À vous les admins

Tout comme la création de canaux partagés, les invitations à discuter par DM sont actives par défaut, d’après l’aide en ligne de Slack. Il appartient aux propriétaires et aux administrateurs d’en restreindre éventuellement l’usage. À leur disposition (sur les versions payantes), plusieurs options :

  • Couper entièrement la fonctionnalité
  • Choisir qui peut envoyer des invitations
  • Interdire les invitations provenant d’organisations non vérifiées (à condition d’être soi-même vérifié)

Slack Connect doit faire l’objet d’une autre extension pour fin 2021. Elle permettra de créer des « réseaux privés » d’entreprises. À la clé, des dossiers unifiés, des apps partagées, un moteur de recherche commun, etc.

* Y compris des versions d’essai des forfaits payants. Ce qui augmente d’autant les risques d’usage abusif.

Illustration principale © Slack