Exploitation de Slack pour une communication E2EE

Introduction

Récemment, une faille de sécurité a été découverte dans les embeddings vidéo de Slack, permettant une communication de bout en bout chiffrée (E2EE). Cette faille repose sur le fait que les embeddings vidéo de Slack n'effectuent pas de vérification runtime, hormis la vérifiabilité de l'URL fournie et sa réponse avec un code 2xx ou 3xx.

Contexte Technique

Le mécanisme d'exploitation repose sur la création d'une paire de clés, le chiffrage de la clé privée et son envoi au serveur. Lorsqu'une opération est requise, le serveur renvoie la clé chiffrée à l'utilisateur, qui la déchiffre localement à l'aide d'un bloc vidéo. Cela permet une communication E2EE sans que le serveur n'accède à la clé déchiffrée.

La mise en œuvre de cette fonctionnalité a nécessité l'utilisation de la bibliothèque openpgpjs pour les opérations de cryptographie, ainsi que la création d'un système de slug pour stocker les informations nécessaires aux opérations cryptographiques.

Analyse et Implications

Cette faille de sécurité soulève des questions sur la sécurité des communications dans les plateformes de collaboration en ligne. La mise en œuvre d'une communication E2EE dans Slack, bien que non conventionnelle, démontre les limites des contrôles de sécurité actuels.

Les implications de cette découverte sont importantes, car elles mettent en évidence la nécessité d'une sécurité renforcée dans les communications en ligne, en particulier dans les plateformes de collaboration qui gèrent des informations sensibles.

Perspective

À l'avenir, il serait intéressant de voir les principales plateformes de collaboration adopter des approches plus flexibles pour les applications intégrées, similaires à celles de Discord ou de Telegram. Cela pourrait conduire à une sécurité améliorée et à une plus grande flexibilité pour les utilisateurs.

La mise en œuvre de la communication E2EE dans Slack, bien qu'elle soit actuellement une solution de contournement, ouvre des perspectives pour les développeurs et les utilisateurs qui cherchent à améliorer la sécurité de leurs communications en ligne.