MEGA : le service fonctionne, l’équipe répond aux critiques sur le chiffrement

Après plusieurs jours de galère, les serveurs de MEGA (voir notre dossier), le service de stockage en ligne de Kim Dotcom et de son équipe, semble enfin tenir le coup. Dans le même temps, un billet a été publié sur le blog officiel afin de donner quelques réponses pour ce qui est de la sécurité et des procédures de chiffrement utilisées.

Depuis hier soir, il semble désormais possible d'uploader et de télécharger via MEGA sans trop de problèmes. Les erreurs précédemment rencontrées ne sont plus de mise selon nos essais et les débits sont plutôt bons, même si ceux-ci demandent parfois quelques minutes avant d'atteindre leur plein potentiel. 

MEGA : les serveurs tiennent enfin la charge, les débits sont au rendez-vous

Nous avons effectué de nouveaux tests depuis une machine virtuelle hébergée sur Azure, sous Windows Server 2012. La mise en ligne d'une ISO d'Ubuntu 12.10 (763 Mo) aura demandé 5 minutes et 28 secondes, soit un débit moyen de 2,3 Mo/s :

Du côté du téléchargement, c'est un peu plus du double puisqu'il aura fallu 2 min et 21 secondes pour arriver au bout de notre fichier, soit un débit moyen de 5,4 Mo/s. Cela devrait donc être suffisant pour la majorité des utilisateurs dotés d'une ligne ADSL, fibre et autres. Reste à savoir si cela tiendra le choc dans la durée.

Comme promis, l'équipe est aussi revenue sur le chiffrement et l'analyse qui en a été faite par certains de nos confrères. Ars Technica et Forbes étant plus spécifiquement visée par les réponses fournies. On y apprendra quelques détails intéressants, comme le fait que le mot de passe pourra être modifié ou réinitialisé.

Le mot de passe pourra être changé ou réinitialisé

En effet, actuellement, ce dernier est utilisé pour créer des empreintes (hash) qui servent de base à certaines clefs de chiffrement comme la master key qui protège les données confidentielles de l'ensemble du compte. Actuellement, il est impossible de le changer pour éviter tout problème, ce qui a été largement critiqué. En effet, comme nous l'indiquions dans notre dossier, que faire si ce mot de passe est découvert ? Que faire si l'on souhaite le renforcer ?

En cas de changement, la master key sera donc chiffrée à nouveau puis réenvoyée sur les serveurs de MEGA. Dans le cas de la réinitialisation, qui rend forcément vos données illisibles (c'est tout le principe du chiffrement) vous pourrez vous connecter à nouveau à votre compte et vous pourrez tenter de récupérer spécifiquement certains fichiers dont vous connaissez la clef AES (utilisée pour la publication d'un lien).

Tant que vous n'aurez pas le mot de passe original, rien d'autre ne sera possible, mais vous pourrez à nouveau uploader des fichiers.

L'entropie de la paire de clef RSA 2048 bits pourra être renforcée

Concernant le niveau d'entropie de la paire de clef RSA 2048 bits utilisée lors des échanges d'utilisateur à utilisateur, les développeurs indiquent que si l'utilisation de la fonctionnalité Math.random() dans la procédure est effectivement insuffisante pour de la cryptographie, le clavier et la souris sont utilisés pour l'améliorer.

Néanmoins, ils promettent une fonctionnalité permettant à l'utilisateur d'ajouter manuellement de l'entropie comme il le souhaite avant de débuter la génération de la paire de clef. Certains demandaient que la bibliothèque OpenPGP.js (dédiée à ce genre d'usage, exploitant la NPAPI) soit utilisée, reste à voir ce qu'il en sera dans la pratique, d'autant plus qu'elle ne fonctionne pas sous Firefox pour le moment par exemple.

Car s'il y a bien un reproche que l'on ne peut pas faire à l'équipe de MEGA, c'est bien celle d'avoir dissimulé les choses. Kim Dotcom avait d'ailleurs indiqué que le code de la partie chiffrement était librement consultable (même si tout le reste est propriétaire et donc non vérifiable) et c'est effectivement le cas puisque tout est effectué côté client, via du Javascript. De plus, le code n'a été ni compilé, ni minifié, ce qui a permis les différentes analyses effectuées ces derniers jours.

La déduplication n'est bien utilisée que dans certains cas précis

Autre point qui avait été largement critiqué : la possibilité que se réserve MEGA de supprimer des doublons au sein de votre compte. Comment procéder si les fichiers sont chiffrés, puisqu'ils sont alors impossibles à identifier ? Si l'on a eu droit à plusieurs théories sur le sujet, l'équipe précise que cette fonctionnalité n'est pour le moment pas active (à l'exception de l'option permettant d'éviter l'upload de doublons côté client).

Il est indiqué que toute l'analyse se fera après le chiffrement, côté serveur. Ainsi, si un fichier est mis en ligne deux fois, avec la même clef AES-128 (aléatoire), une seule copie sera gardée. De la même manière, si un fichier est copié d'un dossier dans un autre, le compte ne disposera physiquement d'une seule version, qui apparaitra néanmoins plusieurs fois dans l'arborescence de l'utilisateur.

De plus, les MAC (Message Authentication Code) permettant d'authentifier la validité des blocs de données seront bien stockés sur les serveurs de MEGA à terme, mais eux aussi seront chiffrés.

La question des certificats SSL évoquée

On apprendra aussi que l'ensemble des serveurs dispose d'un certificat SSL exploitant une clef de chiffrement sur 2048 bits, à l'exception des « statiques » qui contiennent les fichiers et se contentent d'une clef sur 1024 bits. MEGA explique que cette procédure est redondante de son point de vue mais que les navigateurs n'aiment pas accéder à du contenu HTTP non sécurisé dans une page HTTPS (une erreur est alors souvent affichée). 

Ces serveurs se contentent donc d'un chiffrement moins fort afin de les satisfaire, sans imposer une charge CPU supplémentaire. L'intégrité du contenu est pour sa part vérifiée via le code Javascript, qui est, lui, chargé depuis les serveurs qui profitent du SSL chiffré via la clef 2048 bits. Cela permet en outre au service d'exploiter de nombreux serveurs « statiques » situés dans différentes zones géographiques.

Pour ce qui est de la possibilité pour un attaquant ayant cassé le SSL d'accéder à vos données, l'équipe répond ironiquement « si vous êtes capables de casser du SSL, vous pouvez faire des choses bien plus intéressantes qu'accéder à des données stockées sur MEGA ».

Vous n'avez pas confiance en MEGA ? Utilisez l'API ou un autre client

Quant à ceux qui soulèvent la possibilité éventuelle pour le site de désactiver le chiffrement côté serveur sans l'indiquer à l'utilisateur, MEGA a une réponse simple : ils peuvent toujours exploiter d'autres clients basés sur l'API mise à disposition. Il sera alors possible de vérifier que le fichier récupéré ou envoyé a bien été chiffré, comme cela était expliqué dans la FAQ.

Le point de départ était d'ailleurs en partie faux puisque, si l'interface de MEGA « cache » la plupart des étapes à l'utilisateur afin de rendre l'utilisation du chiffrement plus digeste, ce n'est par exemple pas le cas pendant la procédure de téléchargement. Le fichier est en effet récupéré chiffré dans l'espace filesystem sous Chrome, puis ensuite déchiffré via une procédure interne.

MEGA : la phase d'évolution commence, pendant ce temps, gare à votre mot de passe !

Pour le cas de MegaCracker, que nous évoquions hier, il est selon les équipes du site « un excellent rappel qu'il ne faut pas utiliser un mot de passe simple à deviner, ou pouvant être contenu dans un dictionnaire, spécialement si ce mot de passe est utilisé pour la Master key de chiffrement de toutes vos données stockées sur MEGA ».

Reste maintenant à voir si le site va évoluer sur ces différents points afin que les spécialistes de la question puissent le soumettre de nouveau à des tests plus ou moins poussés. Il sera aussi intéressant de voir si des clients open source seront aussi mis en place afin de permettre à la communauté d'exploiter MEGA tout en ayant un réel moyen de s'assurer du bon chiffrement des données.

Kim Dotcom a d'ailleurs annoncé qu'un challenge serait proposé afin de permettre à ceux qui découvrent des failles de repartir avec une somme rondelette. Les détails n'ont pour le moment pas été donnés.

We welcome the ongoing #Mega security debate & will offer a cash prize encryption challenge soon. Let's see what you got ;-)

— Kim Dotcom (@KimDotcom) Janvier 23, 2013

Sachez enfin que nous avons mis notre dossier sur MEGA à jour afin de tenir compte de ces changements.