Sécurité faillible : Mega répond aux critiques sans se démonter

Le par  |  5 commentaire(s)
Mega-security

Tout en reconnaissant des imperfections, Mega répond aux critiques concernant le chiffrement et la sécurité du site. La possibilité de modifier et réinitialiser le mot de passe est au programme.

Suite au lancement de Mega, Kim Dotcom s'est excusé pour les ratés constatés dont essentiellement des problèmes d'accès. L'homme d'affaires au passé sulfureux a assuré le service après-vente avec la promesse de corrections rapides.

Mega Limited a également essuyé les critiques d'experts en sécurité qui se sont penchés sur l'une des fonctionnalités mises en avant par la société qui s'autoproclame " société de confidentialité ". Un chiffrement de bout-en-bout et opéré côté utilisateur ( via JavaScript dans le navigateur ), avant mise en ligne sur les serveurs.

Mega ne se démonte pas et apporte dans un billet de blog des réponses à ces critiques selon lesquelles ses fonctionnalités de sécurité ne sont pas à la hauteur. Sur plusieurs points, Mega concède que des critiques sont fondées et va apporter des améliorations.

C'est par exemple le cas pour le mot de passe d'un compte utilisateur et pour lequel il n'existe actuellement aucun moyen de modification ou réinitialisation. Problématique en cas d'oubli, voire de piratage d'un compte.

Mega indique qu'une fonctionnalité de modification du mot de passe va voir le jour pour permettre de chiffrer à nouveau la clé principale ( ou master key ) avec un nouveau mot de passe. De même pour un mécanisme de réinitialisation du mot de passe.

Mega-beta-1La master key est chiffrée ( AES-128 ) en utilisant le mot de passe. Celui-ci " verrouille la master key qui à son tour permet de déverrouiller les fichiers, dossiers, partages et clés privées ". La réinitialisation permettra à l'utilisateur de se connecter à nouveau à son compte, mais pas de lire les fichiers déjà existants qui auront été chiffrés avec une clé antérieure. Pour une lecture, il faudra se débrouiller par d'autres moyens ( pré-exportation des clés des fichiers par exemple ).

Le caractère aléatoire ( ou entropie ) pour la génération des clés RSA 2048 bits ( lors de l'ouverture d'un compte ) va en outre être amplifié. Toujours un mélange de la méthode JavaScript Math.random() et d'une entropie fournie par le mouvement de la souris et les frappes au clavier. Mais l'entropie pourra être ajoutée " manuellement " avant de procéder à la génération des clés. Cela sous-entend plus de temps qu'actuellement.


Faites-nous confiance
La gestion de la déduplication afin d'éviter des fichiers doublons a aussi soulevé des interrogations et allégations quant à un chiffrement réellement effectif des données. Pour le moment, Mega précise qu'elle n'est pas active mais indique que ce sont des données chiffrées qui seront comparées.

Mega dispose de deux sites. La devanture avec mega.co.nz et static.co.nz. Si le premier utilise un chiffrement 2048 bits, c'est 1024 bits pour le second ce qui est considéré comme non sûr pour un serveur SSL. Mega explique que le code émanant de static.co.nz en direction de mega.co.nz est vérifié afin de s'assurer qu'il n'a pas été modifié dans le cadre d'une attaque de type man-in-the-middle ( homme du milieu ; interception ).

Dans son billet, Mega revient par ailleurs sur le cas de l'outil MegaCracker ( ou CrackMega ) pour extraire les mots de passe des utilisateurs des emails de confirmation qu'ils reçoivent après inscription.

" Un excellent rappel de ne pas utiliser des mots de passe qui peuvent être facilement devinés ou du dictionnaire, particulièrement si votre mot de passe sert également en tant que master key de chiffrement pour tous vos fichiers stockés sur Mega. "

En dépit des explications apportées par Mega, il demeure toujours ce sentiment que la sécurité a surtout été pensée afin de protéger le site d'éventuelles poursuites, plus que de protéger les utilisateurs eux-mêmes. Le service semble en tout cas avoir résolu ses problèmes d'accès en étant désormais beaucoup plus réactif.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1163352
Je me demande quel type de données nécessite une telle protection pour le grand public (sérieusement, je ne trouve pas).
Le #1163412
" il demeure toujours ce sentiment que la sécurité a surtout été pensée afin de protéger le site d'éventuelles poursuites, plus que de protéger les utilisateurs eux-mêmes. "

Ce n'est pas un sentiment, c'est une certitude. Le cryptage n'est utilisé que pour cela.

Cela étant dit, les utilisateurs n'ont qu'à être prudents. A qui veut-on faire croire que les utilisateurs vont stocker /échanger des fichiers perso, qui leur appartiennent [... genre vidéo de vacances en Corse l'été dernier ... ouaou, ça déchire grave,ça intéresse un monde fou !! ] et pour lesquels ils n'auraient pas de copie ailleurs ?

C'est pourtant le seul cas de figure où le crackage hypothétique du mot de passe --générant un changement de mot de passe -- créerait un problème.

Et là, la solution préconisée est hallucinante : " Pour une lecture, il faudra se débrouiller par d'autres moyens ( pré-exportation des clés des fichiers par exemple )."
Autrement dit, à titre préventif, il vaut mieux faire circuler la clé publique ... pas con, ça ... si toutes les clés publiques sont disponibles, pas besoin de MegaCracker pour avoir accès aux fichiers ...

Résumons :
1) Mega est une société de stockage, genre garde-meubles. Pour ne pas risquer d'être poursuivie pour recel --- vu que dans ses entrepôts, les utilisateurs s'échangent des tas de produits qu'ils ont volé ailleurs ---, Mega impose à tous ses clients de mettre un cadenas sur les box de rangement, qu'elle met à leur disposition ; comme ça , Mega peut affirmer IGNORER ce que les gens stockent dans leur box.
2) Certains disent qu'ils peuvent craquer le cadenas proposé par Mega, mais à ce moment-là, on rajoute un autre cadenas, ... et les produits déjà stockés dans le box deviendront inaccessibles.
3) Pour éviter ce risque, il suffirait donc de garder accessibles les clés du premier cadenas dans plein d'endroits différents. Et pourquoi pas, à coté du box de rangement, pendant qu'on y est, c'est beaucoup plus pratique pour les échanges !!
Anonyme
Le #1163452
Alors le changement de mot de passe est prévu. Merci !

Le #1163472
spamnco a écrit :

Je me demande quel type de données nécessite une telle protection pour le grand public (sérieusement, je ne trouve pas).


Dans le cloud si besoin vaut mieux crypter soit même ses données au préalable !
Là au moins il y a plus de sécurité, mais y en a t-il vraiment besoin ...
Le #1169062
Chiffrer ses données dans un cloud est impératif lorsque vous stockez vos documents type relevé de compte, bilan medicaux, etc..
Il ne faut pas oublier que selon votre prestataire, les données sont accessible par des tiers (gouvernement US, par exemple). Lisez bien les CGV et vous verrez le nombre d'exception au caractère privé des données...


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]