Ce changement de Slack est un détail pour vous, mais pour la sécurité ça veut dire beaucoup
C'est un petit changement, qui offre une protection supplémentaire non négligeable : le site américain Techcrunch a repéré que Slack supprime désormais la localisation des photos téléchargées par ses utilisateurs. Quand vous prenez une photo avec votre smartphone, l'image est loin d'être la seule donnée que vous générez.
Une image est donc un véritable nid à informations, qui peut être exploité à des fins malveillantes s’il tombe entre de mauvaises mains. À partir de photos, on peut par exemple retrouver le domicile ou le lieu de travail de quelqu'un, et donc facilement l'identifier. S'il s'agit d'une photo à caractère sexuel qui devait rester dans le cadre privé ou une photo compromettante, les métadonnées posent un problème de protection de la vie privée.
Pour protéger l'information, Slack ne la prend tout simplement pas
À l'inverse, sans les métadonnées, il sera beaucoup plus difficile pour un enquêteur de remonter à la personne qui a pris la photo. Et parmi les utilisateurs de Slack se trouvent des personnes (activistes, dirigeants, journalistes), qui pourraient s'échanger des images contenant ces données critiques, sans s'en rendre compte.
En retirant les données GPS des photos au moment du téléchargement par l'utilisateur sur le serveur de Slack, l'entreprise minimise les effets potentiels d'une fuite de leur base de données d'images. Il serait bien plus difficile de remonter à une source, un activiste ou un lanceur d'alerte par exemple. Cette fuite d'information pourrait être causée par une erreur de paramétrage, une attaque de l'extérieur ou encore une demande de la part d'un gouvernement. Et le meilleur moyen de ne pas fuiter une information est de ne pas l'avoir.
Techcrunch n'a pas identifié ce qui a poussé Slack a effectué ce petit changement, mais il a obtenu confirmation de la part de l'entreprise qu'il était effectivement en place. Si les images ne contiennent plus les données GPS, elles gardent d'autres métadonnées.