Vos Slack Chats sont-ils privés?

Qu'est-ce que Slack?

Slack est un outil de collaboration en équipe basé sur le cloud utilisé quotidiennement par quelque six millions de personnes. Il s'agit principalement d'une plateforme de messagerie instantanée similaire à Skype. Il vous permet de parler en privé avec d'autres membres de l'équipe, ou de créer et de rejoindre des «canaux» de groupe plus ouverts avec d'autres membres de l'équipe. Le partage de fichiers, le partage d'écran et les fonctions d'appel vocal / vidéo sont intégrés.


Mes conversations Slack sont-elles privées?

C'est une question compliquée; Notez que presque toutes les informations ci-dessous sont tirées simplement de ce que Slack a choisi de partager.

Les données sont cryptées en transit et lorsqu'elles sont stockées, et Slack prend désormais en charge les normes de protection des données HIPAA et FINRA exigées respectivement par les secteurs de la santé et des services financiers.

Cependant, Slack n'a pas non plus été conçu avec un cryptage de bout en bout ou une cryptographie à connaissance zéro. Les données sont cryptées lors de leur stockage, mais Slack détient les clés de cryptage et peut donc y accéder. Slack est également un produit source cloud privé, il n'y a donc aucun moyen de vérifier indépendamment ce que le logiciel fait réellement.

Tout cela signifie que nous devons simplement croire Slack pour ce qu'il fait de nos données.

Mon patron peut-il lire mes messages?

C’est probablement la question la plus urgente de la plupart des employés! Et la réponse est ... peut-être. Pour commencer, tous les administrateurs peuvent télécharger une «exportation standard» de toutes les conversations sur les canaux publics. C'est probablement à prévoir, mais qu'en est-il des conversations privées par message direct avec d'autres membres de l'équipe?

Eh bien, tout dépend des paramètres que votre patron a mis en place. Découvrir:

  1. Dans Slack, accédez à votre profil -> Profil et compte -> Paramètres du compte -> Paramètres de l'espace de travail.

Ou visitez simplement teamname.slack.com/account/team dans votre navigateur.

  1. Faites défiler jusqu'à Exportations de conformité.

Heureusement pour moi, mon patron ne peut pas lire mes messages privés. phew!

Si les exportations de conformité sont activées, le propriétaire principal de votre compte détendu (votre patron) peut télécharger un fichier zip contenant toutes vos conversations privées. Notez que cette option n'est pas activée par défaut et n'est disponible que pour les patrons qui souscrivent au plan Slack Plus.

Même alors, ils doivent soumettre une demande qui doit être approuvée par Slack. Aucune information n'est cependant disponible sur les critères à remplir pour que cette approbation soit accordée.

La bonne nouvelle est que si les exportations de conformité ne sont pas déjà activées, votre patron ne peut pas les activer sournoisement à votre insu. * Si la fonction Exportations de conformité est activée alors qu'elle était précédemment désactivée, vous recevrez une notification Slackbot. Votre patron ne pourra pas accéder aux messages envoyés avant l'activation des exportations de conformité.

* Mise à jour de mars 2018: un changement de politique signifie que dans des circonstances limitées, votre patron pourrait avoir accès à des DM privés, même lors de l'utilisation des plans gratuits ou standard.

Le personnel de Slack peut-il lire mes messages?

Malgré les longues pages de politique de confidentialité et de pratiques de sécurité, les données exactes que les membres du personnel de Slack peuvent voir et qui peuvent les voir restent claires comme de la boue. Slack a dit à Gizmodo à peu près ce à quoi je m'attendais: les employés peuvent accéder à vos messages, et le feront en cas d'urgence ou pour toute autre «raison (s) valable (s)».

Cependant, aucun employé n’a «un accès permanent» (accès illimité) aux données des utilisateurs. Le chef de la sécurité de Slack, Geoff Belknap, a également assuré à Gizmodo que:

"C'est un très petit nombre et un nombre très contrôlé de personnes qui ont ce que je qualifierais de la capacité de suivre un processus qui les place dans un endroit où elles ont potentiellement accès aux données."

Qu'en est-il de l'accès non autorisé?

Slack insiste sur le fait qu’un ensemble de protocoles est en place, ce qui entraînerait le déclenchement d’alarmes en cas de tentative non autorisée d’accéder aux données des utilisateurs. Belknap a également déclaré qu'il n'y avait «aucun outil intentionnel construit» qui permettrait aux employés d'accéder à des conversations spécifiques. Il admet cependant qu'un tel outil peut être construit si nécessaire.

Comme le note Nate Cardozo, avocat principal à l'Electronic Frontier Foundation (EFF):

«Slack aurait pu construire ce système de manière à ce que personne au sein de l'entreprise n'ait accès aux données des utilisateurs. Ce qui revient à dire, "faites-nous confiance." C'est la même chose que Uber a dit et ensuite ils ont été pris avec leur pantalon en mode Dieu. Si vous ne le mettriez pas par e-mail, ne mettez pas Slack. "

La police peut-elle lire mes messages?

Slack est une entreprise américaine et doit donc se conformer aux demandes d'informations valides émanant des organismes américains chargés de l'application des lois. Slack affirme que le respect de ces demandes "nécessite un mandat de perquisition délivré par un tribunal compétent".

Selon son propre rapport sur la transparence, qui couvre toutes ces demandes reçues du 1er mai au 31 octobre 2017, une seule demande a abouti à la divulgation de «données de contenu». Les données de contenu incluent les données générées par l'utilisateur telles que les messages publics et privés, les publications, les fichiers et les DM.

Mou 3

Le rapport indique que Slack n'a reçu aucune lettre de sécurité nationale (NSL) au cours de cette période, mais il convient de noter que les NSL sont généralement accompagnés d'un ordre de bâillon. Cela empêcherait Slack de divulguer le fait qu'il avait reçu un NSL.

Si Slack remet vos données à la police, il vous informera généralement de la situation. Bien entendu, cela ne s'applique pas s'il est légalement interdit de le faire. Plus inquiétant encore, Slack n'informera pas les personnes qui se livrent à une conduite illégale ou lorsqu'il existe un «risque de préjudice pour les personnes ou les biens».

Jusqu'à ce qu'une affaire soit portée devant un tribunal, qui doit dire si un client s'est livré à une conduite illégale?

Les pirates peuvent-ils lire mes messages?

En théorie, non. Comme indiqué précédemment, les messages sont chiffrés à la fois en transit et au repos. Dans la pratique, Slack n'a pas encore subi de violation majeure de données. Pourtant:

  • En 2014, le chercheur en sécurité Tanay Sai a découvert un bogue dans le logiciel Slack. Cela a permis à n'importe qui de voir les équipes internes Slack d'une entreprise simplement en entrant une fausse adresse e-mail pour cette entreprise.
  • En 2015, Slack a subi une violation de sécurité de quatre jours dans laquelle les détails du compte et les mots de passe des utilisateurs étaient accessibles aux pirates. Heureusement, ces données ont été hachées à l'aide de la fonction de hachage de mot de passe bcrypt. Il est donc très peu probable (au point d'être impossible) que les pirates puissent convertir en masse les mots de passe hachés en mots de texte brut. Cependant, il peut toujours être possible de casser les hachages de mot de passe individuels. À la suite de cet incident, Slack a commencé à offrir (en option) une authentification à deux facteurs (2FA) pour les comptes.
  • En 2017, Slack a révélé la découverte d'une vulnérabilité de sécurité qui pourrait permettre à un pirate de se connecter à Slack comme s'il était un utilisateur légitime. Ils auraient alors un accès complet à l'historique de discussion, aux canaux et aux fichiers partagés d'un groupe. On pense que la vulnérabilité a été corrigée avant d'être découverte et exploitée par des attaquants malveillants.

Les annonceurs peuvent-ils lire mes messages?

Bonne nouvelle ici - non. Slack a un modèle commercial basé sur un abonnement et ne gagne pas d'argent grâce à la publicité. Non seulement Slack a déclaré qu'il ne prévoyait pas que cette situation change à l'avenir, mais cela n'a pas beaucoup de sens commercial.

Les gens pourraient être prêts à accepter des publicités et d'autres atteintes à la vie privée en échange d'un service gratuit pendant leurs loisirs (en vous regardant, Facebook et Google!). Il est peu probable qu'ils l'acceptent quand ils travaillent, car cela aurait un impact négatif sur la productivité.

Conclusion

Slack n'a pas été conçu pour une forte intimité. Si les exportations de conformité n'ont pas été activées, vos conversations DM sont à l'abri de votre patron, mais tous les paris sont autrement désactivés. En général, il est probablement préférable de penser à Slack comme vous le feriez par courrier électronique - si quelque chose n'est pas sûr à dire en public, alors ne le dites pas sur Slack.

Mes remerciements à Melanie Ehrenkranz de Gizmodo, dont je reconnais une grande dette à l'article.

Crédit d'image: Giorgio Minguzzi /flickr.com/Certains droits réservés.
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me