MISE À JOUR : Nous avons à présent confirmé que l’ensemble des prestataires tiers ont été corrigés pour résoudre les problèmes actuellement identifiés dans CVE-2021-44228 comme dans CVE-2021-45046.
Un petit récapitulatif
Le 9 décembre 2021, nous avons pris connaissance d’une faille de sécurité critique dans Log4j, une bibliothèque Java de l’Apache Software Foundation, décrite dans CVE-2021-44228. Peu de temps après, nous avons appris l’existence de CVE-2021-45046, impliquant également Log4j. Slack, comme de nombreux services basés sur le cloud, utilise Log4j dans le traitement des journaux.
Nous avons immédiatement pris des mesures pour inspecter notre infrastructure et nos applications clients, ainsi que pour effectuer des mises à jour afin de réduire l’impact de cette faille. Nous avons terminé notre atténuation initiale de CVE-2021-44228 le 13 décembre 2021, et notre mitigation de CVE-2021-45046 le 17 décembre. Le 17 décembre 2021, nous avons appliqué tous les correctifs et atténuations nécessaires aux services de production de Slack vulnérables aux problèmes actuellement identifiés dans CVE-2021-44228 et CVE-2021-45046 et nous exécutons nos étapes de validation finales.
Qui a été touché ?
Nous n’avons pas encore terminé notre analyse des conséquences. Nous menons une enquête pour chaque faille menaçant le service Slack.com et les données clients, afin de déterminer si la faille a été exploitée par des cybercriminels pour accéder aux données clients. Cette enquête est en cours pour CVE-2021-44228 et CVE-2021-45046 et peut prendre un certain temps pour être menée à bien. Si nous découvrons que des données client ont été compromises à cause de cette faille, nous contacterons le client sans délai.
Quelles sont les prochaines actions à mener de la part de Slack ?
Les vérifications sont encore en cours afin de nous assurer que rien n’a été omis dans le processus d’atténuation. Nous nous assurons également que les mesures d’atténuation temporaires sont permanentes et nous enquêtons pour déterminer si les données d’un client ont été affectées pendant la période où Slack était vulnérable.
[Note de l’éditeur : L'état des prestataires tiers est à présent confirmé. Voir mise à jour ci-dessus.] En outre, nous attendons toujours la confirmation de la protection des services de certains de nos fournisseurs. Nous allons continuer à surveiller les développements liés aux failles de sécurités de Log4j et à mettre à jour nos mesures d’atténuation si nécessaire.
Que dois-je faire ?
Le cas échéant, nous recommandons aux clients d’examiner les risques liés aux intégrations Slack (voir ci-dessous). Le service Slack lui-même a été mis à jour au niveau du back-end. Les clients n’ont pas besoin de mettre à jour leur application Slack, car elle n’utilisait pas Log4j, ou d’effectuer des modifications pour recevoir les correctifs et les mesures d’atténuation déployés pour protéger le service Slack.
Si vous souhaitez obtenir plus d’informations
Afin de résoudre ces failles, nous avons inspecté nos serveurs dans les environnements de production, de développement et de fonctionnement d’entreprise, nos dépôts de code et nos processus de production en cours d’exécution, dans le but d’identifier toute potentielle exploitation de Log4j. Nous avons utilisé ces données pour recenser une liste de l’ensemble des services potentiellement vulnérables, puis nous avons commencé à appliquer les patches et les solutions pour atténuer les répercussions potentielles du problème. Pour le moment, nous avons mis en place des mesures d’atténuation pour le service Slack conformes aux recommandations de CVE-2021-44228 et de CVE-2021-45046. Nous continuons à évaluer les répercussions potentielles de ces failles au fur et à mesure que de nouvelles informations nous parviennent.
Le service et l’API de Slack traitent les données à l’aide de Log4j. Cependant, les clients mobile et ordinateur de Slack n’ont pas été affectés par ces failles, car ils n’utilisent pas Log4j.
Nous ne sommes pas en mesure d’évaluer l’effet de ces failles de sécurité sur les fournisseurs de services figurant dans notre répertoire d’applications. Ces fournisseurs de services peuvent utiliser ou non Log4j. Veuillez contacter les fournisseurs de services directement afin d’obtenir plus d’informations en utilisant le lien « Obtenir de l’aide » sur la fiche de l’application dans la Liste des applications de Slack.
Si vous avez créé vos propres intégrations qui interagissent avec les données dans Slack (les « intégrations personnalisées »), il est nécessaire que vous examiniez les implications potentielles sur votre propre utilisation de Log4j pour vous assurer :
- Qu’il incombe à Slack de protéger les données que vous écrivez DANS Slack via ces intégrations personnalisées. Les serveurs de Slack ont été mis à jour pour atténuer les vulnérabilités de Log4j, conformément aux informations fournies ci-dessus.
- Que les données que vous lisez DEPUIS Slack et que vous transmettez à votre propre infrastructure présentent moins de risques si toutes les données de votre espace de travail Slack proviennent de sources fiables.
- Toutefois, si des sources auxquelles vous ne faites pas entièrement confiance publient des données dans votre espace de travail Slack, vous devez immédiatement vous assurer que toute infrastructure que vous hébergez et qui prend en charge la journalisation via Log4j a été corrigée et qu’elle est intégralement à jour.
Que reste-t-il à savoir ?
Il existe plusieurs sources fiables pour obtenir des informations contextuelles à propos de la librairie Log4j et de ses problèmes. Si vous souhaitez en savoir plus, nous vous recommandons de lire :
Pour toute question technique, veuillez contacter les membres de l’équipe d’assistance de Slack. Elles se feront un plaisir de vous aider.
Parfait !
Merci beaucoup pour votre feedback !
Bien compris !
Merci pour vos commentaires.
Oups ! Nous rencontrons quelques difficultés. Veuillez réessayer plus tard.