En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Business

Mega est-il assez sécurisé ou faut-il s'en méfier ?

Quelques heures auront suffi à de nombreux experts en sécurité pour pointer du doigt les faiblesses du système de chiffrement de l’espace privé des utilisateurs de Mega. Des failles ayant d’ores et déjà été découvertes.

laisser un avis
Au-delà de ces quelques petits soucis techniques, liés à un démarrage sur les chapeaux de roue, Mega semble devoir tenir ses promesses. Pour autant, quelques nuages commencent déjà à s’amonceler là où on s’y attendait le moins…
Mega devait être un Megaupload hypersécurisé, totalement chiffré. Un coffre fort inviolable, autant pour vous protéger vous que pour protéger Kim Dotcom de toute responsabilité en cas d’hébergement de fichiers illégaux.
Or, justement, côté sécurité et respect de votre vie privée, on en sait désormais un peu plus. La méthode de chiffrement des données (qui s’effectue à la volée) utilise un système de clés privée/publique chiffrées en 2048 bits RSA. Comme il est parfois demandé de le faire avec certains systèmes de génération de chiffrement, il est possible de créer plus de « hasard » en agitant sa souris et en tapotant à l’envi sur son clavier. Pourquoi pas, ça fait passer le temps…

Manque d’expérience

Pour autant, certains experts en sécurité pointent du doigt que cet outil de chiffrement pourrait être désactivé pour certains utilisateurs sans qu’ils le sachent.

C’est ce qu’avance notamment Nadim Kobeissi, un des développeurs du logiciel Cryptocat, utilisé pour chatter de manière sécuriser depuis un navigateur. C’est d’ailleurs toujours Nadim Kobeissi qui indiquait dans un autre tweet avoir découvert que l’outil de chiffrement utilisé par l’équipe de Kim Dotcom fonctionnait exactement comme une ancienne version de Cryptocat, indiquant plus tard dans un échange que le fondateur de Megaupload aurait pu mieux faire. « « Ancien » comme dans « nous avons fait bien mieux depuis » », répondait-il ainsi à une question lui demandant d’expliciter ce qu’il voulait dire en parlant d’une ancienne version de Cryptocat.

De nombreux acteurs du monde du chiffrement semblent même s’étonner que Kim Dotcom n’ait apparemment pas fait appel à des personnes compétentes sur le sujet…

Nécessité de réagir

Une relative incompétence de débutant qui pourrait être très réelle. Dans un tweet, DrWhax, expert en sécurité et co-fondateur de BlackMountaintSecurity, indiquait, sans sourcer l’origine des propos, que Mega aurait déjà répondu à ces critiques en déclarant : « c’est notre premier projet Javascript, soyez compréhensifs ». Compréhensifs, pourquoi pas, mais cela pose toutefois la question de la pertinence d'un service pas aussi sûr qu'il le prétend. On peut même se demander s'il ne vaut mieux pas patienter que tout soit corriger avant de commencer à l'utiliser.

Car les experts en sécurité et chiffrements se sont beaucoup penchés sur le sujet dans les premières heures d’existence du service. Les uns annonçant et listant les vulnérabilités d’ores et déjà découvertes, dont une permettrait d’accéder à l’espace privé d’un utilisateur sans son consentement, tandis que d’autres s’amusaient à publier le code source de l’outil de chiffrement.

Au-delà du succès retentissant que semble devoir rencontrer Mega, une chose est sûre, Kim Dotcom et ses troupes ont intérêt à améliorer rapidement leur service et à corriger leurs erreurs, pour éviter que leur nouveau départ ne soit un faux départ...
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Kim Dotcom peut désormais attaquer les services secrets néozélandais en justice
Trois millions d'utilisateurs pour Mega et une appli mobile en approche
Mega accepte les bitcoins et sécurisera vos mails, vos chats et vos mobiles
Mega : une extension pour Firefox et un outil de synchronisation en approche
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs
Trois minutes pour transformer une application Android en malware
Cybersécurité, 2013 a vu une explosion des vols de données à grande échelle
Les objets connectés seront le nouveau paradis des malwares
Etude Juniper et Rand : portrait détaillé du marché noir de la cybercriminalité
Google Glass : leur premier spyware prend des photos toutes les dix secondes
La protection des contenus 2.0 est arrivée
Le monde connecté de demain doit-il être centré sur la personne ou sur les objets ?
Des Anonymous, partis à l’assaut d’une banque, hackent le mauvais site…
La guerre de l’authentification est déclarée
La Snecma aurait été la cible d’une attaque du type point d’eau
Megaupload : le mandat de perquisition chez Kim Dotcom, finalement jugé légal
Cybersécurité : il n’y a pas que la LPM dans la vie…
Valve ne vous espionne pas, il cherche à évincer les tricheurs