Alors que MEGA est disponible depuis samedi dernier et que le niveau de son chiffrement a été mis en cause plusieurs fois depuis, un PoC (Proof of Concept) exploitant le lien de confirmation donné lors de l'inscription vient de faire son apparition. Il permettrait de récupérer de nombreuses informations, dont la fameuse master key protégeant l'ensemble du compte.
Depuis son lancement, MEGA a été décortiqué dans tous les sens, notamment au niveau du chiffrement utilisé. Pour rappel, celui-ci exploite l'AES-128 pour les fichiers stockés, ainsi qu'une paire de clefs RSA 2048 bits pour le partage de compte à compte (voir notre dossier).
Si l'entropie de cette dernière a été mise en cause, tout comme sa confidentialité (elle est stockée en clair dans le Session storage du navigateur), le plus gros souci pourrait être ailleurs : le lien de confirmation envoyé à votre inscription contiendrait de nombreuses informations sensibles selon @Sc00bzT, comme le fait remarquer Bluetouff.
Il serait en effet composé, entre autres, de :
- Votre master key chiffrée
- L'empreinte de votre mot de passe
- Votre adresse mail
- Votre nom
Pour rappel, celui-ci se présente sous la forme d'une URL fixe (https://mega.co.nz/#confirm) suivie de 119 caractères (dans notre essai). Le tout est donc bien entendu chiffré, mais le développeur a mis en ligne un outil qui se propose de tenter de deviner ces informations depuis ce simple lien dont le code est disponible et publié sous GPL v2. D'après nos essais, celui-ci ne s'appuie pour le moment que sur le CPU et sur un seul coeur, et il n'a pas encore réussi à déchiffrer les données de notre compte de test.
Pour cela, il semble utiliser une attaque par « Brute force » en tentant toutes les combinaisons possibles, mais peut aussi exploiter une liste de mots préparée à l'avance pour essayer de gagner du temps. Autant dire que si votre mot de passe est un tant soit peu complexe, vous ne devriez rien avoir à craindre, n'hésitez néanmoins pas à détruire le mail reçu par Mega une fois votre inscription finalisée.
There have been a few wrong reports about our encryption & security. Expect a blog post on #Mega later today.
— Kim Dotcom (@KimDotcom) Janvier 22, 2013
Quoi qu'il en soit, si cette information se vérifie, on se demande comment MEGA a pu avoir l'idée de créer un lien contenant tant d'informations, envoyées par mail qui plus est (un mail est une carte postale). Dans la matinée, Kim Dotcom indiquait que des informations seraient données concernant la sécurité de MEGA. À l'heure où nous écrivons ces lignes, il n'en est toujours rien.
