En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Mega est-il assez sécurisé ou faut-il s'en méfier ?

Quelques heures auront suffi à de nombreux experts en sécurité pour pointer du doigt les faiblesses du système de chiffrement de l’espace privé des utilisateurs de Mega. Des failles ayant d’ores et déjà été découvertes.

laisser un avis
Au-delà de ces quelques petits soucis techniques, liés à un démarrage sur les chapeaux de roue, Mega semble devoir tenir ses promesses. Pour autant, quelques nuages commencent déjà à s’amonceler là où on s’y attendait le moins…
Mega devait être un Megaupload hypersécurisé, totalement chiffré. Un coffre fort inviolable, autant pour vous protéger vous que pour protéger Kim Dotcom de toute responsabilité en cas d’hébergement de fichiers illégaux.
Or, justement, côté sécurité et respect de votre vie privée, on en sait désormais un peu plus. La méthode de chiffrement des données (qui s’effectue à la volée) utilise un système de clés privée/publique chiffrées en 2048 bits RSA. Comme il est parfois demandé de le faire avec certains systèmes de génération de chiffrement, il est possible de créer plus de « hasard » en agitant sa souris et en tapotant à l’envi sur son clavier. Pourquoi pas, ça fait passer le temps…

Manque d’expérience

Pour autant, certains experts en sécurité pointent du doigt que cet outil de chiffrement pourrait être désactivé pour certains utilisateurs sans qu’ils le sachent.

C’est ce qu’avance notamment Nadim Kobeissi, un des développeurs du logiciel Cryptocat, utilisé pour chatter de manière sécuriser depuis un navigateur. C’est d’ailleurs toujours Nadim Kobeissi qui indiquait dans un autre tweet avoir découvert que l’outil de chiffrement utilisé par l’équipe de Kim Dotcom fonctionnait exactement comme une ancienne version de Cryptocat, indiquant plus tard dans un échange que le fondateur de Megaupload aurait pu mieux faire. « « Ancien » comme dans « nous avons fait bien mieux depuis » », répondait-il ainsi à une question lui demandant d’expliciter ce qu’il voulait dire en parlant d’une ancienne version de Cryptocat.

De nombreux acteurs du monde du chiffrement semblent même s’étonner que Kim Dotcom n’ait apparemment pas fait appel à des personnes compétentes sur le sujet…

Nécessité de réagir

Une relative incompétence de débutant qui pourrait être très réelle. Dans un tweet, DrWhax, expert en sécurité et co-fondateur de BlackMountaintSecurity, indiquait, sans sourcer l’origine des propos, que Mega aurait déjà répondu à ces critiques en déclarant : « c’est notre premier projet Javascript, soyez compréhensifs ». Compréhensifs, pourquoi pas, mais cela pose toutefois la question de la pertinence d'un service pas aussi sûr qu'il le prétend. On peut même se demander s'il ne vaut mieux pas patienter que tout soit corriger avant de commencer à l'utiliser.

Car les experts en sécurité et chiffrements se sont beaucoup penchés sur le sujet dans les premières heures d’existence du service. Les uns annonçant et listant les vulnérabilités d’ores et déjà découvertes, dont une permettrait d’accéder à l’espace privé d’un utilisateur sans son consentement, tandis que d’autres s’amusaient à publier le code source de l’outil de chiffrement.

Au-delà du succès retentissant que semble devoir rencontrer Mega, une chose est sûre, Kim Dotcom et ses troupes ont intérêt à améliorer rapidement leur service et à corriger leurs erreurs, pour éviter que leur nouveau départ ne soit un faux départ...
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Kim Dotcom peut désormais attaquer les services secrets néozélandais en justice
Trois millions d'utilisateurs pour Mega et une appli mobile en approche
Mega accepte les bitcoins et sécurisera vos mails, vos chats et vos mobiles
Mega : une extension pour Firefox et un outil de synchronisation en approche
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
L’entreprise, invitée surprise de la conférence Google I/O
L’antivirus : 25 ans déjà
iOS 8 : Apple met la sécurité au cœur de ses annonces
Quand la sécurité devient éco-responsable
Piratage : Ebay, Orange, Target... A qui le tour ? (vidéo du jour)
BYOD 2014 : quelles avancées après 4 ans de buzz ?
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs
Trois minutes pour transformer une application Android en malware