MEGA : le dossier

David Legrand
Par Le mercredi 23 janvier 2013 à 09:09

API et Roadmap : le futur de MEGA

Si MEGA propose désormais son service de base, à savoir l'échange et le stockage de fichiers, cela n'est pas la seule chose qu'il fera dans les mois à venir si l'on en croit l'équipe de développement. En effet, celle-ci a d'ores et déjà publié une liste assez complète des projets en cours, ce qui permet de voir à plus ou moins long terme ce qui nous attend.

 

MEGA Under construction

Des applications, des clients et une messagerie chiffrée arrivent

Outre les améliorations en terme d'ergonomie ou de documentation, on note que les échanges entre les utilisateurs seront une part importante de ces évolutions. Ainsi, une messagerie instantanée est déjà prévue, tout comme l'échange de mails via un chiffrement spécifique (OpenPGP et S/MIME sont évoqués).

 

Le partage de dossiers devrait être simplifié et reprendre le système des fichiers avec une clef AES-128 à partager. Son contenu pourra alors être consulté en live. La possibilité pour un utilisateur non connecté d'envoyer des fichiers à un membre de MEGA semble aussi être en prévision.

 

MEGA API

 

Des applications comme un calendrier, un tableur ou un traitement de texte sont aussi prévues, mais un système de conversation audio / vidéo est aussi annoncé, tout comme des clients pour Linux, OS X et Windows. Ce dernier devrait d'ailleurs être le premier concerné puisqu'un outil permettant de monter votre espace MEGA comme un disque virtuel semble déjà en bêta privée et il est indiqué qu'il sera « bientôt disponible ».

 

La synchronisation, qui est sans doute la fonctionnalité la plus importante lorsque l'on parle de stockage en ligne, est aussi évoquée.

Les développeurs ne sont pas oubliés, afin d'aider MEGA à avancer plus vite

Ces évolutions devraient être facilitées par la présence d'une API qui se veut assez complète. Elle exploite un couple assez habituel HTTP/JSON et permettra aux développeurs d'effectuer l'ensemble des opérations (upload, téléchargement, suppression, partage...), tout en gérant le chiffrement côté client.

 

mega api

 

Un quota d'utilisation semble prévu, mais n'est pas précisé. Vous pourrez le vérifier via une requête. Il ne reste plus qu'à voir si le succès sera au rendez-vous. La réponse, dans les semaines et mois qui viennent.

Légalité, copyright et vie privée

Après ce qui s'est passé l'année dernière, l'équipe derrière MEGA (Kim Dotcom, Mathias Ortmann, Bram van der Kolk, Finn Batato et Tony Lentino) a décidé de rendre les choses un peu plus carrées du côté de la légalité et de la gestion du droit d'auteur.

 

MEGA Dossier PCi

 

Ainsi est-il rapidement précisé dans la FAQ qu'« au meilleur de nos connaissances, le stockage Cloud et le cryptage sont légaux. Conformez-vous aux lois et aux règlements applicables sur la façon dont vous utilisez le stockage Cloud et sur le cryptage ainsi que sur nos conditions d'utilisation ».

MEGA veut que vous respectiez le droit d'auteur, et vous le fait savoir

Une façon de se protéger qui est omniprésente. De nombreuses actions nécessitent d'accepter les conditions générales de MEGA qui tiennent en 43 points (soit un de trop) dans lesquelles on apprendra ce qu'il ne faut surtout ne pas faire : revendre le service sans le consentement de la société, stocker ou échanger des données qui ne sont pas conformes à la loi, agresser sous quelque forme que ce soit les autres utilisateurs... 

 

Mais des précisions supplémentaires sont aussi rajoutées concernant le copyright. La FAQ indique ainsi que « MEGA respecte les copyrights des autres et requiert que les utilisateurs du service Cloud de MEGA soient en accord avec les lois de Copyright. Il est strictement interdit d'utiliser le service Cloud MEGA pour enfreindre les droits d'auteur. Vous ne pouvez pas charger, télécharger, stocker, partager, afficher, utiliser pour diffuser, distribuer, envoyer par mail, mettre en lien, transmettre ou autrement dit rendre disponible des fichiers, des données ou du contenu qui porte atteinte à un droit d'auteur ou d'autres droits de propriété de toute personne ou entité ».


MEGA Formulaire de contact


De nombreux formulaires sont ainsi proposés, en plus de ceux dédiés au support ou aux propositions de nouvelles fonctionnalités afin de déclarer un souci d'ordre légal ou un problème relatif aux questions de Copyright.

 

Bref, MEGA veut se donner une image bien lointaine de celle de feu Megaupload qui était largement utilisé par les adeptes de contenus illégaux rapidement récupérés. On regrettera juste de ne pas avoir droit à une petite vidéo promotionnelle dont la musique reste en tête :

 

 

Néanmoins, il faut noter que MEGA semble indiquer qu'il faudra plusieurs infractions avant la résiliation d'un compte, mais que des mesures peuvent être prises avant cela : 

 

« Nous nous réservons le droit de supprimer les Contenus présumés contre faisants sans préavis, à notre seule discrétion et sans engager notre responsabilité envers vous. Lorsque les circonstances le justifient, MEGA sera également en droit de résilier le compte d'un utilisateur si l'utilisateur est considéré à plusieurs reprises comme contrefacteur. Vous trouverez ci-dessous les coordonnées de notre mandataire désigné en matière d'atteinte au copyright à qui adresser les avis de violation du Copyright apparaissant sur les Services de Cloud ».


MEGA Faq


Rien ne semble non plus indiqué concernant les délais de prise en compte et de traitement des notifications. De même, le site ne semble pas opter pour un « Stay Down ». En clair un contenu notifié une première fois pourrait réapparaître avec la même empreinte numérique sur le site sans traitement particulier. Mega mettrait en oeuvre un système de « Notice & Stay Down » (je notifie, tu retires) mais non « Notice & Take Down » (je notifie, tu retires et empêches les réapparitions avec la signature numérique). Une source interne nous le confirme d'ailleurs : « nous ne pouvons identifier de signature numérique vu que nous n'avons pas accès au contenu (à cause du chiffrage ) »

Le service est à la recherche de serveurs... hors des USA

Pour ses serveurs, la société se cherche d'ailleurs des partenaires. Les critères sont les suivants :

  • Au moins 20 To d'espace disque
  • Contrôleur RAID de qualité
  • Au moins 4 Go de RAM
  • Au moins 1 Gb/s de débit montant ( 2 Gb/s préféré)
Il est néanmoins précisé, sans doute par peur de représailles de la part des autorités américaines, que :
 
« Malheureusement, nous ne pouvons travailler avec les compagnies d'hébergement basées aux États-Unis. Refuge pour les fournisseurs via le Digital Millennium Copyright Act elles ont été affaiblies par le Département de la Justice avec sa nouvelle poursuite criminelle de Megaupload. Ce n'est pas sûr pour les sites de stockage en Cloud ou toute entreprise permettant un contenu généré par l'utilisateur d'être hébergé sur les serveurs aux États-Unis ou sur les domaines comme .com/.net. Le gouvernement américain saisi fréquemment les domaines sans offrir aux fournisseurs une audience ou un procès équitable ».

 

MEGA Revendeur

Vos données vous appartiennent, mais votre IP est stockée

Notez que de son côté, le service se réserve le droit de supprimer certaines de vos données, notamment si elles existent en tant que doublons au sein de votre compte, en précisant que le fichier original sera bien entendu conservé. Concernant la propriété de vos données, tout semble clair (ce qui est plutôt logique, ces dernières étant chiffrées). Il est ainsi indiqué que vous possédez vos contenus, mais accordez à la société un droit de les utiliser, stocker, sauvegarder, copier, transmettre, distribuer, communiquer et de les rendre disponibles pour les besoins de l'accès au site et au service pour vous et ceux à qui vous en avez donné l'accès.

 

Mais comme déjà évoqué précédemment, certains regretteront sans doute que l'IP utilisateur soit systématiquement stockée, qu'aucune solution de type VPN ne soit proposée avec les comptes Premium par exemple (il faudra donc aller voir du côté de Spotflux, IPredator ou OpenVPN par exemple) et qu'il soit impossible d'être totalement anonyme, notamment au niveau du paiement puisque les Bitcoins ne sont pas acceptés.

 

MEGA Personal Informations

 

Il est ainsi précisée que les données personnelles collectées le sont pour le bon fonctionnement de l'application et des raisons de support essentiellement, mais aussi à des fins commerciales pour fournir aux utilisateurs des informations sur les promotions de MEGA et de ses services. Il est question des informations suivantes : logs de communication, informations sur le traffic de données, mais la question de la publicité est aussi évoquée. On devrait ainsi rapidement voir des espaces arriver au moins sur la version gratuite, reste à voir si un système de tracking sera alors imposé ou non. Durant nos essais, aucun n'a été détecté par Ghostery.

MEGA : l'interface et les débits

Une fois connecté à votre compte MEGA, vous arriverez sur le gestionnaire de fichiers. Celui-ci exploite uniquement des fonctionnalités HTML5 et Javascript, le support de Flash ou Java n'est donc pas nécessaire. Mais cela ne sera pas sans poser de soucis.

 

MEGA Dossier PCi interface

MEGA est une simple application web : la douloureuse question du navigateur

En effet, si vous voulez mettre en ligne la sauvegarde de votre machine ou l'ensemble de vos données personnelles pour plusieurs dizaines de Go, passer par un client lourd afin de gérer l'upload et la synchronisation semble plus adapté. Comme nous le verrons plus loin, MEGA promet que cela va réellement arriver et propose une API aux développeurs pour leur permettre de fournir leur propre solution. Il sera alors intéressant de voir quelle forme tout cela prendra.

 

Car en l'état actuel des choses, le navigateur peut aussi être une source de limitations en terme de fonctionnalités et de qualité de l'expérience. MEGA favorise ainsi l'utilisation de Chrome en affichant un message à ceux qui exploitent une autre application. Dans une publication sur son blog, l'équipe de développement explique que c'est actuellement le plus complet vis-à-vis de ses besoins et du support de l'API HTML5 FileSystem, même si le rendu des textes n'est pas son fort.

 

MEGA chrome navigateur

 

Les autres navigateurs sont évoqués avec la liste des défauts relevés pendant la phase de conception. IE10 serait ainsi gourmand en mémoire lors du téléchargement de gros fichiers, IE9 ne dispose pas de nombreuses fonctionnalités nécessaires, Firefox 18 et Opera ne permetraient pas d'écrire des fichiers depuis du Javascript alors que ce dernier serait aussi assez lent pour les opérations de chiffrement.

 

Dans le cas de Firefox, notez que Mozilla propose en fait sa propre API pour la manipulation de fichiers, qui est annoncée comme plus complète que celle proposée par Google et intégrée dans Chrome. Reste à voir si elle sera elle aussi utilisée dans les prochaines version de MEGA.

 

Notez que concernant les téléchargements qui pourraient être interrompus, il est précisé que « Tant que vous ne fermez pas l'onglet du navigateur, les téléchargement reprendront automatiquement après une coupure internet ou l'interruption de votre appareil après une veille / veille prolongée par exemple. Notez que nos serveurs suppriment les ajouts incomplets automatiquement après 48 heures d'inactivité ».

Transférez des fichiers via un simple glisser-déposer

Quoi qu'il en soit, dans la colonne de gauche du gestionnaire de fichiers, vous trouverez quatre sections : 

  • Cloud Drive
  • Corbeille
  • Inbox
  • Contacts

La première est celle qui contiendra tous vos documents. Vous pourrez y uploader des fichiers ou des dossiers, via les boutons du menu principal ou via un simple glisser-déposer si votre navigateur le supporte. Durant l'opération, la partie basse du site fera apparaître la zone Transferts de fichiers qui vous permettra de connaître l'avancement de la procédure, le débit, le temps écoulé ou restant... 

 

MEGA Transfert fichier

 

Notez qu'à l'heure de nos premiers essais, le téléchargement direct ne semblait pas fonctionner, le statut restant indiqué comme Pending. Nous avons aussi rencontré des soucis avec la messagerie. Celle-ci vous permet en effet d'échanger des fichiers avec vos contacts MEGA, mais une fois reçus, impossible de les faire apparaître. Des bugs qui devraient rapidement être corrigés, notamment au moment de la mise à disposition de la version finale du site.

 

Vous aurez comme autre possibilité le fait de renommer un fichier, de le déplacer ou même de le supprimer. Il ira alors dans la zone corbeille. Celle-ci est en fait un répertoire qu'il sera néanmoins possible de vider d'un simple clic. Notez qu'un moteur de recherche est aussi proposé.

Partagez simplement un fichier ou un dossier, avec ou sans sa clé de chiffrement

Mais la principale fonctionnalité est bien entendu celle permettant le partage de données. Comme nous l'évoquions précédemment, vos données sont protégées par une une clef chiffrement symétrique (AES-128). Seule la personne disposant de cette clef pourra récupérer le fichier. Lorsque vous demandez à Recevoir un lien, une petite fenêtre s'ouvre afin de vous le fournir.

 

Elle pourra contenir la clef du fichier ou non, vous pourrez alors choisir de la transmettre séparément (attention à bien utiliser un canal sécurisé). Si c'est le cas, le téléchargement pourra directement avoir lieu et le nom du fichier sera indiqué en clair, sinon l'utilisateur devra indiquer la fameuse clef avant de récupérer la moindre information.

 

En fait, vous pourrez décider de copier quatre informations différentes dans le presse-papier via un bouton (exploitant Flash), chacune pouvant être cochée ou non : le lien, la clef, le nom ou la taille du fichier. Sachez que si vous sélectionnez plusieurs éléments (via les touches CTRL ou MAJ), les informations de chacun d'entre eux vous seront indiquées.

 

MEGA PartageMEGA partage fichierMEGA partage fichier

 

Dans le cas des répertoires, cela sera différent. En effet, le partage ne pourra être effectué que via un tiers par le biais de son e-mail et la procédure de chiffrement asymétrique évoquée précédemment. Vous pourrez lui accorder différents droits : lecture, lecture et écriture ou accès complet (suppression comprise). Si c'est un membre de MEGA qui est dans vos contacts, il verra automatiquement arriver un petit dossier jaune sous votre nom. Sinon, il recevra une invitation afin de s'inscrire.

 

Bien entendu, vous pourrez supprimer un accès d'un simple clic, mais cela ne semble pas encore pris en compte. Notez que les dossiers partagés sont identifiés par une petite main au sein de leur icône.

 

MEGA Partage dossier

Contrôler vos paramètres de connexion, et surveiller l'historique de vos sessions

Pour les inscrits, une section sera aussi dédiée au suivi de votre compte. Ici, ne cherchez pas de manière de changer votre login ou votre mot de passe, c'est impossible pour les raisons évoquées précédememnt dans la section dédiée au chiffrement de vos données. Il vous est surtout proposé de voir le type de formule dont vous disposez, d'en changer et de connaître la quantité de données que vous stockez par rapport à votre quota disponible et le niveau de votre quota de bande passante.

 

Vous pourrez aussi modifier certaines options comme le nombre de téléchargements ou d'uploads que vous pourrez effectuer de manière simultanée, l'utilisation systématique du SSL, le fait d'ignorer les doublons ou de limiter la vitesse d'upload. 

 

MEGA Dossier PCi interfaceMEGA Dossier PCi interface

 

Celui-ci sera par défaut positionné sur automatique, mais vous pourrez le désactiver ou choisir vous même la valeur de votre choix. Enfin, la liste des 10 à 250 dernières sessions sera affichée : navigateur, pays, IP, date et heure d'activité. Une manière d'identifier une potentielle intrusion, mais certains pourraient ne pas apprécier de voir de telles informations stockées par MEGA (l'IP notamment).

Quels débits pour MEGA ?

Pour la pratique, nous avons effectués nos essais avec une machine virtuelle Azure sous Windows 2012 Server afin de ne pas être limité par notre ligne ADSL. Nous avons pu atteindre un upload de 2,3 Mo/s soit un peu plus de 5 minutes pour notre ISO d'Ubuntu 12.10 de 763 Mo :

 

MEGA Débits Azure

 

Côté téléchargement, nous avons été capable d'atteindre les 5,4 Mo/s lors de nos derniers essais depuis la même machine.

 

MEGA Débits Azure

 

Des chiffres encourageant, surtout après les premiers soucis rencontrés les jours suivant le lancement. Reste à voir si tout cela tiendra dans la durée.

MEGA : la nouvelle offre

Avec MEGA, Kim Dotcom joue gros. Il a en effet multiplié les annonces, les promesses et les provocations ces derniers mois, notamment via son compte TwitterAlors que le site sera dévoilé demain, et ouvert à tous, nous avons pu accéder au service de stockage attendu comme le messie par tant d'internautes. L'occasion de voir s'il tient ses promesses ou non. Voici notre compte-rendu au sein d'un dossier complet.

 

MEGA Dossier PCi

 

Première chose à savoir, MEGA ne prend pour le moment pas la forme d'un logiciel. Il s'agit uniquement d'une application Web (disponible en français) un peu comme celle que proposent Dropbox, Google Drive, Skydrive... Si le site vante ici la simplicité de mise en place (un accès internet et un navigateur suffisent), cela devrait rapidement être une limite pour certains usages.

Un tarif plancher, mais un quota de bande passante descendante

En l'état actuel des choses, lorsque vous arrivez sur le site, la première chose que l'on vous propose de faire est d'uploader un fichier, alors que les autres services vous proposent généralement de vous enregistrer. Cela sera possible de manière anonyme, et une session temporaire sera créée après acceptation des conditions d'utilisation. Notez que durant nos essais, ce point a plusieurs fois changé. Il était parfois impossible de passer par là, la création d'un compte étant exigée. Il faudra voir ce qu'il en est lors de la mise en ligne finale.

 

MEGA Upload anonyme MEGA Upload anonyme

 

Mais vous pourrez aussi opter pour un compte afin de centraliser la gestion de vos fichiers au sein d'un espace unique. Un nom, une adresse mail et un mot de passe seront nécessaire puis un mail de confirmation vous parviendra quelques secondes plus tard dans votre boite aux lettres. Notez que celui-ci est arrivé dans la section spam lors de certains de nos essais, n'hésitez pas à y faire un tour si vous ne recevez rien. 

 

Vous devrez alors cliquer sur un lien d'activation puis vous connecter. Par défaut, vous disposerez d'un compte gratuit de 50 Go, mais vous pourrez opter pour des forfaits plus importants, entre 9,99 € et 29,99 € par mois :

 

Tarifs MEGA

 

Comme vous pouvez le voir, si le tarif du téra-octet stocké est compris entre 7,5 € et 20 € par mois, vous serez limités en terme de bande passante, ce qui pourrait bien inciter certains à ne pas opter pour une telle solution. MEGA nous a confirmé qu'il s'agissait uniquement de bande passante sortante, vous pourrez donc uploader autant que vous voulez.

 

Mais attention si vous partagez de gros fichiers avec un grand nombre de personnes, cela peut vite vous amener à vos limites, bien que de 1 To à 8 To par mois puissent sembler largement raisonnables pour une utilisation normale. MEGA nous a néanmoins précisé qu'il était possible de choisir à ce que ce soit le compte du téléchargeur qui soit imputé au sein de vos paramètres.

 

Notez d'ailleurs que si les outils concurrents ne précisent pas de limite de ce genre, ils précisent dans leurs CGV qu'ils peuvent désactiver un lien de partage si celui-ci semble trop sollicité. Dropbox indique par exemple qu'au-delà de 20 Go par jour (compte gratuit) ou 200 Go par jour (compte payant), un lien sera désactivé. Si l'approche de MEGA semble plus franche, il faudra voir si ces limites n'auront pas rapidement besoin d'être revues à la hausse pour justifier de l'intérêt du service face à la concurrence.

 

Quoi qu'il en soit, il s'agit sans doute pour MEGA de limiter les possibilités d'utilisation de son service à des fins de diffusion de films, jeux et autres applications par des adeptes du piratage. La FAQ précise d'ailleurs : 


« Notre politique est de ne pas imposer de restrictions artificielles sur nos utilisateurs, sauf si nécessitée par les goulots d'étranglement. Nous nous réservons donc le droit de limiter l'utilisation de la bande passante utilisateur pour des raisons opérationnelles à tout moment sur une base par IP. Votre file d'attente de transfert reprendra automatiquement une fois que l'encombrement sera passé. Aucune intervention manuelle n'est nécessaire ».

 

MEGA tarifMEGA tarifMEGA tarif

Un rabais pour un abonnement annuel et un programme revendeur

Sachez aussi que si vous optez pour un abonnement à l'année, deux mois vous seront offerts. Les tarifs seront alors les suivants :

  • Pro I : 99,99 € par an
  • Pro II : 199,99 € par an
  • Pro III : 299,99 € par an

Mais au final, MEGA ne semble rien proposer de manière directe. Ce seront des revendeurs qui assureront la vente et un programme est proposé, permettant à ceux qui génèrent un chiffre d'affaires plus ou moins important de toucher 15 à 30 % de celui-ci. Une API spécifique est mise en place à cet effet.

 

Actuellement, une dizaine est proposée, dont aucun français, il faudra voir si cette liste s'étoffe rapidement ou non. On s'étonnera de voir que le paiement passe le plus souvent par PayPal étant donné la position de la société dans des affaires telles que celle de Wikileaks par exemple. Les amateurs des Bitcoins (une monnaie virtuelle, décentralisée, basée sur le P2P et hors du contrôle des organismes financiers habituels) seront sans doute déçus d'apprendre qu'il semble pour le moment impossible de les utiliser pour se payer un compte MEGA.

 

MEGA Revendeur MEGA Revendeur

 

Du côté de la sécurité de vos données, il est précisé que celles-ci sont au moins stockées « sur au moins deux serveurs dans différents centres de données ». Bien entendu, le site indique aussi qu'il ne peut être utilisé comme sauvegarde et que l'utilisateur doit s'assurer de disposer d'une copie de ses fichiers puisqu'il ne peut nullement être garanti qu'aucun bug ne surviendra et qu'aucune perte de données n'arrivera.

 

Reste à voir ce que cela donnera dans la pratique en cas de panne massive.

MEGA : le renouveau passe par le chiffrement

Kim Dotcom l'avait annoncé, la vraie première différence de MEGA sera dans le chiffrement des donnés côté client. Tout comme Wuala indique le faire, ou comme vous pouvez vous même le mettre en place sur d'autres services via EncFS ou BoxCryptor (voir notre dossier), vos données sont tout d'abord rendues illisibles puis envoyées sur les serveurs.

 

Une manière de se protéger en cas de faille de sécurité, mais aussi de s'assurer qu'aucun employé de MEGA ou qu'aucune personne pouvant avoir un jour accès à vos données ne pourra lire les fichiers que vous avez mis en ligne. Cela empêchera par contre aussi la diffusion sous forme de streaming, qui plaisait tant dans l'ex-Megaupload.

La question du chiffrement côté client revient sur le devant de la scène

Dans le cas de Dropbox par exemple, c'est un chiffrement symétrique AES-256 qui est utilisé côté serveur. Cela signifie que Dropbox dispose des clefs de vos fichiers et peut donc y accéder s'il le souhaite. Si le service indique clairement dans ses conditions d'utilisation et sa politique de sécurité que cela ne sera jamais le cas, tout repose sur la confiance que vous accordez à la société, à ses partenaires et au pays dont il dépend légalement.

 

Chiffrement symétrique

Chiffrement symétrique / Crédits : Roumanet - Wikipédia

  

Si pour vos photos de vacances cela est n'est pas un problème, pour une PME qui stocke des données confidentielles, cela est une autre affaire. Reste qu'il faudra voir si une telle entité choisira un prestataire au passé sulfureux comme MEGA pour une telle pratique, ce qui en l'état actuel des choses semble peu probable. Il faudra sans doute que le site montre patte blanche pendant un certain temps avant de pouvoir éventuellement voir arriver de tels clients.

MEGA : une combinaison de chiffrement symétrique et asymétrique

Dans la pratique, chacun de vos fichiers et dossiers sont protégés via un algorithme de chiffrement symétrique, l'AES-128. Un choix justifié par l'équipe par le besoin de trouver un bon compromis entre sécurité et puissance de nos machines. Il faut dire que tout passe actuellement par le langage Javascript, qui n'est pas forcément celui qui exploite nos CPU ou leurs capacités de la manière la plus efficace. Mais les développeurs indiquent qu'ils exploiteront l'API HTML5 WebCrypto dès que possible, celle-ci devant être plus performante. Notez que dans le cas des fichiers, aux 128 bits de la clef se rajoutent 64 bits supplémentaires permettent de vérifier l'intégrité et 64 autres qui sont une composante aléatoire.

 

Ainsi, seule la personne disposant de la clef d'un fichier (unique pour chacun) sera capable de le télécharger. Par défaut, ce sera uniquement vous, mais vous aurez la possibilité de la partager comme nous le verrons un peu plus loin. L'ensemble des clefs est stocké au sein de votre compte sur les serveurs de MEGA mais protégé par une clef principale (Master key). Elle-même est chiffrée, sa clef étant une empreinte (hash) calculée à l'aide de votre login et de votre mot de passe.

 

  MEGA politique confidentialité

 

Mais tout cela peut paraître complexe et MEGA se veut simple et cherche à rendre l'ensemble le plus transparent possible pour l'utilisateur. Sachez seulement que si vous perdez le mot de passe de votre compte, il sera impossible d'accéder à vos fichiers puisqu'il a été utilisé pour les protéger. Il sera aussi impossible d'en changer ou de le récupérer via un formulaire pour le moment, et le service ne pourra rien faire pour vous aider, n'ayant pas accès à vos données en clair. Cela devrait néanmoins changer rapidement.

 

On regrettera au passage qu'il soit impossible de fermer un compte pour le moment, ou même de révoquer les accès précédent, afin de pouvoir éviter tout problème si votre mot de passe venait à être découvert.

Le chiffrement asymétrique utilisé pour la communication et le partage des dossiers

Dès votre première connexion, c'est une paire de clefs de chiffrement asymétrique qui sera créée. Là encore, MEGA a décidé de ne pas choisir l'algorithme le plus lourd puisque c'est le RSA 2048 bits qui est utilisé. Vos clefs seront une combinaison des informations que vous avez fourni lors de votre première connexion, mais aussi d'une part aléatoire renforcée par le comportement de votre clavier et de votre souris pendant sa création. Un point qui a été vite critiqué, mais sur lequel MEGA promet qu'il sera bientôt possible de renforcer les choses si l'utilisateur le souhaite.

 

Une telle pratique n'a rien de nouveau puisqu'elle est déjà utilisée pour la signature et le chiffrement des e-mails via OpenPGP ou S/MIME par exemple, mais aussi dans le cadre du protocole de communications Off-The-Record (OTR) qui peut être utilisé avec certains clients (Pidgin OTRJitsiGibberbot...) afin de protéger les discussions via Facebook Messenger, Google Talk, WLM... Dans MEGA, ce sera utilisé notamment pour le partage de dossiers et la communication avec des tiers, comme nous l'étudierons plus loin.

 

Chiffrement asymétrique

Chiffrement asymétrique / Crédits :  Roumanet - Wikipédia

 

Pour rappel, dans le cadre de la cryptographie asymétrique vous disposez d'une clef privée et d'une clef publique. La première est précieuse et ne doit pas être divulguée. C'est elle qui vous permet de déchiffrer les données de manière à être le seul à pouvoir y accéder par la suite, mais aussi de signer un contenu afin que l'on puisse vérifier que vous en êtes l'auteur.

 

Une clef publique a par contre vocation à être largement distribuée puisqu'elle permet à un tiers de chiffrer des données afin que vous soyez le seul à pouvoir les lire, mais aussi d'authentifier la source d'un contenu. Ainsi, si vous signez un message, votre clef publique permettra de vérifier que vous en êtes à l'origine. Pour plus de détails sur ces procédures, vous pouvez consulter cette page.

Votre mot de passe devient vital, attention aux clefs stockées dans votre navigateur

Comme précédemment, ces clefs sont stockées sur les serveurs de MEGA et la privée est protégée par la master key. Lorsque vous vous connectez à votre compte MEGA depuis un navigateur, cette paire de clefs est donc récupérée et stockée au sein du Session Storage. Une zone qui sera détruite à la fermeture de votre fenêtre.

 

MEGA Session Storage Keys

Les paramètres privk et pubk contiennent votre paire de clefs

 

Attention néanmoins, celle-ci peut être récupérée par n'importe qui ayant accès à votre machine lorsque vous êtes connecté. Prenez donc toujours garde à vous déconnecter et à fermer toutes vos fenêtres MEGA avant de quitter votre poste. Un souci qui est inhérent au fonctionnement à l'intérieur d'un navigateur et que l'on espère voir disparaître avec l'arrivée des premières applications que ce soit pour PC fixe, smartphone ou tablette.

MEGA vous promet la sécurité, mais est-elle au rendez-vous ?

On pourrait aussi imaginer que MEGA vous fournisse votre clef privée puis vous demande de la fournir de manière récurrente. Mais cela pourrait largement complexifier les choses et favoriser les cas de perte de cette clef. Il s'agit là encore sans doute de faire un choix entre la sécurité la plus complexe et le confort d'utilisation.

 

Quoi qu'il en soit, il sera intéressant de voir les analyses qui seront faites dans les jours à venir par les différents experts. Certains mettent déjà en cause les bibliothèques Javascript utilisées par MEGA ou même le niveau du chiffrement utilisé (et sa part aléatoire qui serait moins complexe qu'annoncé). D'autres trouvent déjà des failles XSS au sein du site...

 

L'équipe de développement a rapidement corrigé les premiers soucis remonté puis répondu en détail aux différentes critiques. On s'étonne tout de même qu'une analyse plus sérieuse n'ait pas été effectuée en amont, même si le fait de ne pas compiler / minifier le code Javascript utilisé aide aux différentes analyses.

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7358

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires