Auteur : Nathan Lehotsky, Ingénieur Logiciel Principal en Sécurité
Co-Auteur : Ryan Persaud, Ingénieur Logiciel Principal en Sécurité
À Slack, nous nous engageons à offrir une sécurité qui va au-delà de l’ordinaire. Nous nous efforçons continuellement de gagner et de maintenir la confiance des utilisateurs en protégeant les composants critiques essentiels à l’expérience de chaque utilisateur. Des mots de passe aux cookies de session, en passant par les jetons et les webhooks, nous accordons la priorité à la protection de tout ce qui est essentiel à la connexion des utilisateurs à la plateforme et à leur authentification. Grâce à des mesures proactives et des automatisations innovantes exploitant une intelligence des menaces de pointe, nous nous engageons à protéger les utilisateurs contre les violations potentielles, les logiciels malveillants de détournement de cookies et l’exposition involontaire d’informations sensibles et de secrets.
La stratégie de Slack a toujours été d’anticiper et de mitiger les menaces avant qu’elles ne puissent affecter nos utilisateurs. Depuis 2016, nous scannons continuellement Internet à l’aide d’expressions régulières adaptées aux spécificités de nos jetons et webhooks pour trouver ceux qui sont accessibles au public. Souvent, ces secrets sont involontairement exposés lorsqu’ils sont codés en dur dans le code de développement, puis publiés quelque part comme sur GitHub. Étant donné que ces secrets fournissent des niveaux d’accès variables à l’espace de travail d’un utilisateur, nos outils invalident automatiquement et immédiatement les jetons et webhooks dès leur découverte et notifient leurs propriétaires respectifs.
Ensuite, nous avons cherché à étendre le même niveau de protection et d’automatisation aux mots de passe et aux cookies de session de Slack. La réutilisation des mots de passe sur plusieurs plateformes représente un risque significatif pour la sécurité des utilisateurs. Une étude de 2023 sur les prises de contrôle de compte a révélé que 70 % des victimes ont déclaré avoir réutilisé le même mot de passe sur plusieurs sites et services, ce qui a conduit à ce que 53 % d’entre elles voient plusieurs de leurs comptes être piratés. En chiffres, 29 % des adultes américains ont subi une prise de contrôle de compte d’ici 2023, soit environ 77,5 millions de victimes selon les chiffres de la population gouvernementale. Dans le même temps, les mots de passe et les cookies de session sont également vulnérables aux logiciels malveillants conçus pour les voler depuis le navigateur d’un utilisateur, un point sur lequel nous reviendrons ci-dessous.
Cela nous a amenés à collaborer avec des partenaires stratégiques en intelligence des menaces qui collectent des données à partir de sources diverses telles que les violations, les forums du dark web, les botnets et les logiciels malveillants. Ces partenariats nous fournissent des données exploitables de haute qualité en temps réel qui nous permettent de rester en avance sur les acteurs de menace, tout en rendant Slack moins attrayant en rendant les identifiants volés par ces acteurs de menace invalides et inutiles.
Nous ingérons continuellement cette intelligence des menaces via les API de nos partenaires et trouvons proactivement des correspondances entre les identifiants de nos utilisateurs et ceux apparaissant dans les flux de données des acteurs de menace. Lorsqu’une correspondance est trouvée, cet identifiant est immédiatement réinitialisé et bloqué pour être réutilisé par l’utilisateur associé à l’avenir, maintenant qu’il est compromis. Souvent, nous pouvons attraper ces mots de passe vulnérables si rapidement que nous sommes en mesure de les réinitialiser avant qu’un acteur de menace ne puisse les utiliser pour accéder de manière non autorisée à un compte.
Ce processus de comparaison des mots de passe fournis par nos partenaires en intelligence des menaces avec les entrées de notre base de données n’est pas simple. Alors que les données de violation d’identifiants sont disponibles en texte clair, permettant aux acteurs malveillants de les utiliser, les mots de passe de Slack sont stockés de manière sécurisée sous forme de hachages salés, rendant une comparaison directe impossible. Pour résoudre cela, nous avons créé un pipeline de données qui ingère automatiquement les identifiants candidats à partir de nos sources de données en intelligence des menaces, puis sale et hache chaque mot de passe afin qu’une comparaison avec la base de données de Slack puisse être effectuée avant que le point de données ne soit délibérément et définitivement supprimé.
Bien que le processus de salage et de hachage de chaque mot de passe candidat soit délibérément long, nous sommes en mesure de traiter des millions d’identifiants en un laps de temps raisonnable dans les confins sécurisés de l’infrastructure de Slack. Nous y parvenons en les divisant en lots plus petits et en les traitant en parallèle dans une file de tâches. Lorsque notre processus en backend identifie une correspondance, le mot de passe de l’utilisateur associé est immédiatement réinitialisé et l’utilisateur est notifié par e-mail expliquant cette activité, accompagné de quelques actions de suivi qu’il peut entreprendre pour améliorer la sécurité de son compte à l’avenir. À ce stade ou si aucune correspondance n’est trouvée, le pipeline supprime le point de données pour que les données en intelligence des menaces ne soient jamais accumulées ou stockées par Slack.
Tous les cookies de toute application ou service, y compris le cookie de session Slack que chaque utilisateur de Slack possède, sont stockés localement sur l’appareil d’un utilisateur. Ce stockage local offre des avantages tels que la vitesse, l’efficacité, la scalabilité et la fonctionnalité hors ligne, mais il présente également un risque pour la sécurité. Si un acteur de menace parvient à compromettre l’appareil de cet utilisateur, il pourrait également accéder aux cookies sur cet appareil et utiliser les cookies de Slack pour accéder aux espaces de travail de l’utilisateur.
Pour nous prémunir proactivement contre cette possibilité, en plus de , nous surveillons également constamment les flux de données en intelligence des menaces et invalidons les cookies Slack exfiltrés de manière opportune, équilibrant la sécurité avec l’expérience utilisateur. Cela étend le système initial que nous avons mis en place pour découvrir et invalider les jetons de session utilisateur au nom d’un utilisateur Slack afin que les cookies soient également protégés contre une utilisation malveillante.
Souvent, nos partenaires en intelligence des menaces découvrent les cookies Slack détournés si rapidement que nous sommes en mesure de les invalider avant qu’un acteur malveillant n’ait la chance de les utiliser de manière abusive, mais de manière adaptée à la géographie et au fuseau horaire de chaque utilisateur respectif. Lorsqu’un cookie Slack est invalidé, sa session associée est marquée pour être terminée, ce qui, une fois terminé, déconnecte l’utilisateur de son espace de travail. C’est une bonne chose en termes de protection des comptes de l’utilisateur contre un accès non autorisé, mais nous savons aussi que personne ne veut perdre l’accès à Slack pendant une conversation critique ou en plein milieu d’une présentation en équipe.
Pendant l’exécution, notre automatisation examine chaque cookie compromis pour évaluer si la géographie de l’utilisateur associé signifie que c’est pendant ses heures de travail habituelles en semaine. Si tel est le cas, l’invalidation de ce cookie spécifique est programmée pour se produire dans une fenêtre horaire en dehors de cette plage, tandis que les cookies appartenant à des utilisateurs qui ne sont pas actuellement dans leurs heures de travail en semaine sont invalidés immédiatement. Cela nous permet d’offrir une expérience utilisateur positive qui prend en compte le fuseau horaire de chaque utilisateur tout en calculant l’invalidation la plus efficace et opportune pour le cookie exfiltré.
Comme pour les mots de passe exposés, lorsqu’un cookie est invalidé, nous notifions l’utilisateur impacté par e-mail. De plus, si l’espace de travail de cet utilisateur est sur un plan Enterprise prenant en charge les journaux d’audit Slack, nous ajoutons également un événement pour l’invalidation du cookie dans leurs journaux d’audit pour plus de transparence.
Notre engagement en matière de sécurité chez Slack va au-delà des mesures conventionnelles en exploitant une intelligence des menaces de pointe avec des automatisations innovantes pour découvrir et invalider à grande échelle les identifiants d’utilisateurs vulnérables. Nous croyons fermement que protéger de manière proactive contre les menaces existantes et émergentes est non seulement une nécessité pour favoriser une plateforme sécurisée, mais aussi essentiel pour maintenir la confiance des utilisateurs dans notre marque. Nous sommes également fiers de concevoir des approches qui mettent l’accent sur une expérience utilisateur transparente et fluide, tout en mettant en œuvre simultanément des protocoles de sécurité robustes pour contrecarrer les tentatives d’accès non autorisées par des acteurs de menace.
Intéressé à nous aider à protéger les utilisateurs de Slack ?