MEGA : Kim Dotcom corrige 7 failles et rémunère les hackers

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités MEGA : Kim Dotcom corrige 7 failles et rémunère les hackers

Publié le 11 février 2013 à 17:50 par Mathieu M.

Lire sur mobile

Kim Dotcom, le fondateur de MegaUpload et de la plus récente plateforme MEGA n'est pas du genre à faire des promesses en l'air. Ainsi, une semaine après avoir annoncé récompenser de 10 000 quiconque réussirait à cracker la sécurité du site, plusieurs primes auraient déjà été distribuées.

Le système de primes lancé par Mega visant à récompenser quiconque permettra d'augmenter la sécurité du site en dévoilant les failles porte visiblement ses fruits puisque plusieurs failles auraient déjà été comblées suite à son lancement.

La semaine dernière, Kim Dotcom lançait un défi aux hackeurs, leur proposant de mettre à mal la sécurité de sa plateforme Mega, allant jusqu'à proposer 10 000€ à qui réussira à cracker totalement la sécurité du site.

À ce jour, 7 failles importantes auraient été comblées grâce à cette opération, et autant de primes auraient été distribuées aux hackers à l'origine de leur découverte.

Pour autant, Mega n'a pas annoncé quel est exactement le montant des primes distribuées pendant cette première semaine, ni combien de failles ont été soumises à étude à ce jour. Néanmoins, Kim Dotcom encourage les pirates en herbe et confirmés à tenter de forcer son site pour en combler la moindre faille.

Mega a également publié une classification des vulnérabilités en fonction de leur impact potentiel sur le fonctionnement et l'accès aux données privées contenues sur le site. Une classification en 6 points qui s'établit comme suit :

Classe VI : Faille critique exploitable dans le système de cryptographie.

Classe V : Remote code exécution sur le noyau des serveurs MEGA ( API/DB/Root Clusters) ou brèches majeures dans le contrôle d'accès.

Classe IV : Faille dans le système de cryptographie exploitable uniquement après avoir compromis l'infrastructure serveur.

Classe III : Contrôle d'accès distant exécutable depuis un navigateur ( cross-site scripting)

Classe II : Cross-site scripting exploitable après avoir compromis l' API serveur ou après avoir effectué une attaque de type " man-in-the-middle" ( par exemple l'utilisation d'un faux certificat SSL + une manipulation DNS/BGP )

Classe I : Toute théorie et scénario ayant un impact limité sur le site.

Dans la première semaine de programme, aucune faille de classe IV ou V n'aurait été mise en évidence, et les 7 failles proposées ont immédiatement été comblées par les experts en sécurité du site.

Bien que de son côté, MEGA n'a pas encore communiqué les montants des primes versées, The Hacker News a relayé via son flux Twitter une information qui laisse entendre que l'un des hackers aurait touché 1000€ pour avoir découvert une faille de classe III.

Congratulations @fransrosen for XSS in #MEGA. Handsome EUR 1000 in Bug Bounty Program twitter.com/fransrosen/sta…
— The Hacker News™ (@TheHackersNews) 10 février 2013

En outre, si Kim Dotcom semble respecter ses engagements vis-à-vis des primes versées, l'entrepreneur ne se risque pas non plus énormément, les 10000€ annoncés ne devant récompenser qu'une faille découverte dans le système de chiffrement SSL 256 Bits. Dans le cadre de la découverte d'une faille dans le cryptage SSL 256 Bits, il y a fort à parier qu'il ne sera pas difficile de trouver un interlocuteur largement plus généreux que Kim Dotcom, tant le système de cryptographie est utilisée dans divers domaine .

Source : The Next Web