CrackMega : un outil pour cracker le chiffrement mis en place sur Mega

Le par  |  27 commentaire(s) Source : Zataz
Mega-fondateurs

Il n'aura finalement pas fallu longtemps pour que la sécurité tant mise en avant par Kim Doctom sur sa plateforme Mega fasse l'objet de l'intérêt de quelques spécialistes en sécurité. Ainsi, le système de chiffrement présenté comme inviolable aurait déjà été cracké.

Nous vous en parlions hier, Mega ne souhaite pas renouveler les erreurs de MegaUpload et la parade juridique concernant son implication au niveau de diverses affaires de piratage serait balayée d'un revers de la main grâce à l'arme secrète du site : son système de chiffrement individuel.

Lors des inscriptions, une clef de chiffrement est générée pour l'utilisateur en fonction de son pseudo, de son nom, mais également en prenant en considération un ensemble biométrique comme le déplacement de la souris ainsi que les caractéristiques de frappes au clavier. Le procédé est annoncé comme inviolable, totalement unique pour chaque utilisateur et pourtant...

Un chercheur en sécurité viendrait de mettre le doigt sur une faille dans le système de cryptographie permettant ainsi de révéler les mots de passe des utilisateurs du site. Des analystes ont remonté avoir identifié plusieurs failles XSS dans le site Mega, ainsi qu'un accès aux codes sources de celui-ci, permettant à chacun d'y récupérer les fichiers Register.js, login.js, account.js et rsa.js , autant d'outils pour  exploiter les failles du chiffrement.

Chiffrement mega 

Un outil vient de se rendre disponible sur la toile : CrackMega, un logiciel capable de cracker le chiffrement du site Mega. L'outil permettrait ainsi de cracker le lien envoyé par e-mail lors de la confirmation d'inscription.

Il nécessite d'intercepter le mail envoyé par le service de Mega, mais puisque la plateforme s'appuie sur une interface Web, la voie est ouverte aux pirates pour intercepter les clefs SSL.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1162472
A peine sur les rails que la locomotive a déjà des soucis. Et on voudrait faire confiance à ça ?
Le #1162482
Mouais ...

Il y a 4-5 ans, si on écoutait les ragots du web, une clé réseau se craquait en 10 min.

Au final, à part un hackeur bien chevronné, il n'est pas à la portée de tous de se connecter au premier réseau Wi-Fi protégé qu'on croise.

Pourtant à les écouter on se serait baladé dans les rue avec notre portable et on aurait pu surfé gratos toute la journée
Le #1162492

Peut-on faire confiance à un personnage comme Kim Dotcom tout simplement ...
Le #1162532
Misstigry a écrit :

Peut-on faire confiance à un personnage comme Kim Dotcom tout simplement ...


Je fais confiance aux gens que je connais. Et encore, pas tous. Ceci dit pour stocker des trucs non sensibles en copie je ne vois pas le problème.
patheticcockroach Hors ligne VIP 7663 points
Le #1162582
" ainsi qu'un accès aux codes sources de celui-ci, permettant à chacun d'y récupérer les fichiers Register.js, login.js, account.js et rsa.js"
=>Ah ben oui, c'est bien connu que sur un site normal on ne peut pas accéder à la source des fichiers js!
Le #1162662
Et encore ;le type est sympa, il met la communauté au courant....il aurait très bien pu fermé sa mouille....
Le #1162752
Pour mega rab..... un bon dd ext 2to à moins de 150€ et on peut stocker chez soi ....le cloud pour ma part ira se faire foutre.

mais du 2048 rsa cracké ! que vont en penser nos banquiers ?

que tout va bien ,et que nous avons aucune crainte à avoir ?




Le #1162812
mapool a écrit :

Pour mega rab..... un bon dd ext 2to à moins de 150€ et on peut stocker chez soi ....le cloud pour ma part ira se faire foutre.

mais du 2048 rsa cracké ! que vont en penser nos banquiers ?

que tout va bien ,et que nous avons aucune crainte à avoir ?


Que faire en cas d'incendie chez vous où en cas de vol, votre beau disque dur externe a 150euro va partir en fumée où être volé en même temps que votre ordinateur...
Le #1162822
Kim il s'en fout de ça.

Le cryptage, c'est juste histoire de dire, qu'il ne peut pas savoir ce que les gens stockent sur le cloud, et par conséquent, qu'il ne peut pas être tenu pour RESPONSABLE, s'ils échangent des fichiers illégaux.

Le fait que ce soit crackable, ne signifie pas que n'importe qui va pouvoir le faire, et encore moins le faire ; donc, sa ligne de défense restera valable.

Bien sûr, des ayant-droit pourront décrypter ce que les utilisateurs échangent, mais est-ce que, juridiquement,ils auront le droit d'aller en justice pour faire condamner les fautifs avec de telles infos ?? Est-ce que casser un cryptage,ce n'est pas déjà en soi un acte répréhensible ?

S'il y a un avocat parmi vous, je serais curieux de connaître la réponse !
Le #1162832
Vous n'avez rien compris.

C'est Kim Dotcom lui-même qui a fourni ce "crack". Le cryptage lui a été imposé, mais ça n'est pas pratique. Alors, il fait semblant que le décryptage vienne d'un hacker, et il en informe la presse pour bien que tout le monde sache qu'il existe une solution de décryptage.

Il l'a fait parce que c'est dans son intérêt qu'il y est un maximum de gens qui puissent downloader des musiques et des films que d'autres auront mis. Sans la clé, on ne pourrait downloader que ses propres fichiers ou ceux de personnes qui veulent bien vous donner leur clé, ce qui restreint beaucoup le système.

Edit : Les grands esprits se rencontrent. Je viens d'écrire presque la même chose que le message précédent.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]