La sécurité des applications Lax de Slack et Teams déclenche des alarmes

Des applications de collaboration comme Slack et Microsoft Teams sont devenus le tissu conjonctif du lieu de travail moderne, reliant les utilisateurs à tout, de la messagerie à la planification en passant par les outils de vidéoconférence. Mais alors que Slack et Teams deviennent des systèmes d’exploitation de productivité d’entreprise à part entière et compatibles avec les applications, un groupe de chercheurs a souligné les risques sérieux liés à ce qu’ils exposent à des programmes tiers, tout en faisant confiance à davantage d’organisations. ‘ des données sensibles que jamais.

Une nouvelle étude menée par des chercheurs de l’Université du Wisconsin-Madison souligne des lacunes troublantes dans le modèle de sécurité des applications tierces de Slack et Teams, qui vont d’un manque de révision du code des applications à des paramètres par défaut qui permettent à tout utilisateur de installer une application pour un espace de travail entier. Et bien que les applications Slack et Teams soient au moins limitées par les autorisations pour lesquelles elles demandent une approbation lors de l’installation, l’enquête de l’étude sur ces protections a révélé que des centaines d’autorisations d’applications leur permettraient néanmoins de publier potentiellement des messages en tant qu’utilisateur, de détourner la fonctionnalité d’autres des applications légitimes, ou même, dans quelques cas, accéder au contenu de canaux privés alors qu’aucune autorisation de ce type n’a été accordée.

“Slack et Teams deviennent des centres d’échange de toutes les ressources sensibles d’une organisation”, déclare Earlence Fernandes, l’un des chercheurs de l’étude qui travaille maintenant comme professeur d’informatique à l’Université de Californie à San Diego, et qui a présenté la recherche. le mois dernier à la conférence USENIX Security. “Et pourtant, les applications qui y sont exécutées, qui fournissent de nombreuses fonctionnalités de collaboration, peuvent violer toutes les attentes des utilisateurs en matière de sécurité et de confidentialité sur une telle plate-forme.”

Lire aussi  Comment séparer les prénoms et les noms dans Microsoft Excel

Lorsque WIRED a contacté Slack et Microsoft au sujet des découvertes des chercheurs, Microsoft a refusé de commenter jusqu’à ce qu’il puisse parler aux chercheurs. (Les chercheurs disent avoir communiqué avec Microsoft au sujet de leurs découvertes avant la publication.) Slack, pour sa part, affirme qu’une collection d’applications approuvées qui est disponible dans son répertoire d’applications Slack reçoit des examens de sécurité avant l’inclusion et est surveillée pour tout comportement suspect. . Il “recommande fortement” que les utilisateurs n’installent que ces applications approuvées et que les administrateurs configurent leurs espaces de travail pour permettre aux utilisateurs d’installer des applications uniquement avec l’autorisation d’un administrateur. “Nous prenons la confidentialité et la sécurité très au sérieux”, déclare la société dans un communiqué, “et nous nous efforçons de garantir que la plate-forme Slack est un environnement de confiance pour créer et distribuer des applications, et que ces applications sont de qualité professionnelle dès le premier jour”.

Mais Slack et Teams ont néanmoins des problèmes fondamentaux dans leur vérification des applications tierces, affirment les chercheurs. Ils permettent tous deux l’intégration d’applications hébergées sur les propres serveurs du développeur de l’application sans examen du code réel des applications par les ingénieurs Slack ou Microsoft. Même les applications examinées pour inclusion dans l’annuaire des applications de Slack ne subissent qu’une vérification plus superficielle de la fonctionnalité des applications pour voir si elles fonctionnent comme décrit, vérifient les éléments de leur configuration de sécurité tels que leur utilisation du cryptage et exécutent des analyses d’applications automatisées qui vérifient leur interfaces pour les vulnérabilités.

Lire aussi  Ce que la lutte contre le COVID et la lutte contre la toxicomanie ont en commun

Malgré les propres recommandations de Slack, les deux plates-formes de collaboration permettent par défaut à tout utilisateur d’ajouter ces applications hébergées indépendamment à un espace de travail. Les administrateurs d’une organisation peuvent activer des paramètres de sécurité plus stricts qui obligent les administrateurs à approuver les applications avant leur installation. Mais même dans ce cas, ces administrateurs doivent approuver ou refuser les applications sans avoir eux-mêmes la possibilité de vérifier leur code, et surtout, le code des applications peut changer à tout moment, permettant à une application apparemment légitime de devenir malveillante. Cela signifie que les attaques peuvent prendre la forme d’applications malveillantes déguisées en applications innocentes, ou que des applications vraiment légitimes peuvent être compromises par des pirates lors d’une attaque de la chaîne d’approvisionnement, dans laquelle les pirates sabotent une application à sa source dans le but de cibler les réseaux de ses utilisateurs. Et sans accès au code sous-jacent des applications, ces modifications pourraient être indétectables pour les administrateurs et tout système de surveillance utilisé par Slack ou Microsoft.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick