Rejoignez-nous
Divers

Faille de sécurité Slack : sa fonction d'IA peut pirater vos conversations privées, selon un rapport

Pierre

Date de publication :

Publié il y a 3 mois

le

Faille de sécurité Slack : sa fonction d'IA peut pirater vos conversations privées, selon un rapport

Vous ne savez peut-être même pas que Slack dispose de fonctionnalités d’IA, mais c’est le cas, et cela pourrait être un problème.

L’IA empiète sur toutes les applications, et dans certains cas, cela pourrait être un problème.

Prenez Slack, par exemple. L'application de messagerie instantanée pour le travail propose une suite optionnelle de fonctionnalités d'IA pour lesquelles vous pouvez payer un supplément, mais selon la société de sécurité PromptArmor, elle regorge de failles potentielles. Cette fonctionnalité existe pour aider à créer des résumés rapides des conversations, mais selon PromptArmor, elle le fait avec un accès aux messages privés et peut être amenée à hameçonner d'autres utilisateurs.

Les détails techniques sont tous dans le billet de blog PromptArmor, mais le problème ici est essentiellement double. Pour commencer, Slack a récemment mis à jour son système d'IA pour pouvoir extraire volontairement des données des messages privés des utilisateurs et des téléchargements de fichiers. Au-delà de cela, en utilisant une technique appelée « injection rapide », PromptArmor a prouvé qu'il est possible d'utiliser l'IA Slack pour créer des liens malveillants qui pourraient potentiellement hameçonner les membres dudit canal Slack.

Indigo Buzz a contacté Slack pour obtenir des commentaires à ce sujet. Selon le blog de PromptArmor, le problème a été signalé à Slack avant la publication de son article de blog. Un porte-parole de SalesForce, la société mère de Slack, a déclaré à The Register que le problème avait été résolu, mais n'a pas donné de détails.

« Lorsque nous avons pris connaissance du rapport, nous avons lancé une enquête sur le scénario décrit dans lequel, dans des circonstances très limitées et spécifiques, un acteur malveillant disposant d'un compte existant dans le même espace de travail Slack pourrait hameçonner des utilisateurs pour obtenir des données sensibles », a déclaré le porte-parole de SalesForce. « Nous avons déployé un correctif pour résoudre le problème et n'avons pour l'instant aucune preuve d'un accès non autorisé aux données des clients. »

À tout le moins, il vaut probablement la peine de consulter les politiques d’IA déclarées pour chaque application que vous utilisez régulièrement.

Pierre

Pierre, plus connu sous son pseudonyme "Pierrot le Fou", est un rédacteur emblématique du site Indigo Buzz. Originaire d'une petite ville du sud-ouest du Gers, cet aventurier des temps modernes est né sous le signe de l'ombre en 1986 au sommet d'une tour esotérique. Élevé dans une famille de magiciens-discount, il a développé un goût prononcé pour l'excentricité et la magie des mots dès son plus jeune âge. Pierre a commencé sa carrière de rédacteur dans un fanzine local dédié aux films d'horreur des années 80, tout en poursuivant des études de communication à l'Université de Toulouse. Passionné par l'univers du web, il a rapidement pris conscience de l'impact du numérique et des réseaux sociaux sur notre société. C'est alors qu'il a décidé de troquer sa collection de cassettes VHS contre un ordinateur flambant neuf... enfin presque.