Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

MEGA : le service fonctionne, l'équipe répond aux critiques sur le chiffrement

Rassurés ?

Après plusieurs jours de galère, les serveurs de MEGA (voir notre dossier), le service de stockage en ligne de Kim Dotcom et de son équipe, semble enfin tenir le coup. Dans le même temps, un billet a été publié sur le blog officiel afin de donner quelques réponses pour ce qui est de la sécurité et des procédures de chiffrement utilisées.

Depuis hier soir, il semble désormais possible d'uploader et de télécharger via MEGA sans trop de problèmes. Les erreurs précédemment rencontrées ne sont plus de mise selon nos essais et les débits sont plutôt bons, même si ceux-ci demandent parfois quelques minutes avant d'atteindre leur plein potentiel. 

MEGA : les serveurs tiennent enfin la charge, les débits sont au rendez-vous

Nous avons effectué de nouveaux tests depuis une machine virtuelle hébergée sur Azure, sous Windows Server 2012. La mise en ligne d'une ISO d'Ubuntu 12.10 (763 Mo) aura demandé 5 minutes et 28 secondes, soit un débit moyen de 2,3 Mo/s :

 

MEGA Débits Azure

 

Du côté du téléchargement, c'est un peu plus du double puisqu'il aura fallu 2 min et 21 secondes pour arriver au bout de notre fichier, soit un débit moyen de 5,4 Mo/s. Cela devrait donc être suffisant pour la majorité des utilisateurs dotés d'une ligne ADSL, fibre et autres. Reste à savoir si cela tiendra le choc dans la durée.

 

MEGA Débits Azure

 

Comme promis, l'équipe est aussi revenue sur le chiffrement et l'analyse qui en a été faite par certains de nos confrères. Ars Technica et Forbes étant plus spécifiquement visée par les réponses fournies. On y apprendra quelques détails intéressants, comme le fait que le mot de passe pourra être modifié ou réinitialisé.

Le mot de passe pourra être changé ou réinitialisé

En effet, actuellement, ce dernier est utilisé pour créer des empreintes (hash) qui servent de base à certaines clefs de chiffrement comme la master key qui protège les données confidentielles de l'ensemble du compte. Actuellement, il est impossible de le changer pour éviter tout problème, ce qui a été largement critiqué. En effet, comme nous l'indiquions dans notre dossier, que faire si ce mot de passe est découvert ? Que faire si l'on souhaite le renforcer ?

 

En cas de changement, la master key sera donc chiffrée à nouveau puis réenvoyée sur les serveurs de MEGA. Dans le cas de la réinitialisation, qui rend forcément vos données illisibles (c'est tout le principe du chiffrement) vous pourrez vous connecter à nouveau à votre compte et vous pourrez tenter de récupérer spécifiquement certains fichiers dont vous connaissez la clef AES (utilisée pour la publication d'un lien).

 

Tant que vous n'aurez pas le mot de passe original, rien d'autre ne sera possible, mais vous pourrez à nouveau uploader des fichiers.

L'entropie de la paire de clef RSA 2048 bits pourra être renforcée

Concernant le niveau d'entropie de la paire de clef RSA 2048 bits utilisée lors des échanges d'utilisateur à utilisateur, les développeurs indiquent que si l'utilisation de la fonctionnalité Math.random() dans la procédure est effectivement insuffisante pour de la cryptographie, le clavier et la souris sont utilisés pour l'améliorer.

 

Néanmoins, ils promettent une fonctionnalité permettant à l'utilisateur d'ajouter manuellement de l'entropie comme il le souhaite avant de débuter la génération de la paire de clef. Certains demandaient que la bibliothèque OpenPGP.js (dédiée à ce genre d'usage, exploitant la NPAPI) soit utilisée, reste à voir ce qu'il en sera dans la pratique, d'autant plus qu'elle ne fonctionne pas sous Firefox pour le moment par exemple.

 

 Nuage Sécurité MEGA

 

Car s'il y a bien un reproche que l'on ne peut pas faire à l'équipe de MEGA, c'est bien celle d'avoir dissimulé les choses. Kim Dotcom avait d'ailleurs indiqué que le code de la partie chiffrement était librement consultable (même si tout le reste est propriétaire et donc non vérifiable) et c'est effectivement le cas puisque tout est effectué côté client, via du Javascript. De plus, le code n'a été ni compilé, ni minifié, ce qui a permis les différentes analyses effectuées ces derniers jours.

La déduplication n'est bien utilisée que dans certains cas précis

Autre point qui avait été largement critiqué : la possibilité que se réserve MEGA de supprimer des doublons au sein de votre compte. Comment procéder si les fichiers sont chiffrés, puisqu'ils sont alors impossibles à identifier ? Si l'on a eu droit à plusieurs théories sur le sujet, l'équipe précise que cette fonctionnalité n'est pour le moment pas active (à l'exception de l'option permettant d'éviter l'upload de doublons côté client).

 

Il est indiqué que toute l'analyse se fera après le chiffrement, côté serveur. Ainsi, si un fichier est mis en ligne deux fois, avec la même clef AES-128 (aléatoire), une seule copie sera gardée. De la même manière, si un fichier est copié d'un dossier dans un autre, le compte ne disposera physiquement d'une seule version, qui apparaitra néanmoins plusieurs fois dans l'arborescence de l'utilisateur.

 

De plus, les MAC (Message Authentication Code) permettant d'authentifier la validité des blocs de données seront bien stockés sur les serveurs de MEGA à terme, mais eux aussi seront chiffrés.

La question des certificats SSL évoquée

On apprendra aussi que l'ensemble des serveurs dispose d'un certificat SSL exploitant une clef de chiffrement sur 2048 bits, à l'exception des « statiques » qui contiennent les fichiers et se contentent d'une clef sur 1024 bits. MEGA explique que cette procédure est redondante de son point de vue mais que les navigateurs n'aiment pas accéder à du contenu HTTP non sécurisé dans une page HTTPS (une erreur est alors souvent affichée). 

 

Ces serveurs se contentent donc d'un chiffrement moins fort afin de les satisfaire, sans imposer une charge CPU supplémentaire. L'intégrité du contenu est pour sa part vérifiée via le code Javascript, qui est, lui, chargé depuis les serveurs qui profitent du SSL chiffré via la clef 2048 bits. Cela permet en outre au service d'exploiter de nombreux serveurs « statiques » situés dans différentes zones géographiques.

 

MEGA partage fichier

 

Pour ce qui est de la possibilité pour un attaquant ayant cassé le SSL d'accéder à vos données, l'équipe répond ironiquement « si vous êtes capables de casser du SSL, vous pouvez faire des choses bien plus intéressantes qu'accéder à des données stockées sur MEGA ».

Vous n'avez pas confiance en MEGA ? Utilisez l'API ou un autre client

Quant à ceux qui soulèvent la possibilité éventuelle pour le site de désactiver le chiffrement côté serveur sans l'indiquer à l'utilisateur, MEGA a une réponse simple : ils peuvent toujours exploiter d'autres clients basés sur l'API mise à disposition. Il sera alors possible de vérifier que le fichier récupéré ou envoyé a bien été chiffré, comme cela était expliqué dans la FAQ.

 

Le point de départ était d'ailleurs en partie faux puisque, si l'interface de MEGA « cache » la plupart des étapes à l'utilisateur afin de rendre l'utilisation du chiffrement plus digeste, ce n'est par exemple pas le cas pendant la procédure de téléchargement. Le fichier est en effet récupéré chiffré dans l'espace filesystem sous Chrome, puis ensuite déchiffré via une procédure interne.

MEGA : la phase d'évolution commence, pendant ce temps, gare à votre mot de passe !

Pour le cas de MegaCracker, que nous évoquions hier, il est selon les équipes du site « un excellent rappel qu'il ne faut pas utiliser un mot de passe simple à deviner, ou pouvant être contenu dans un dictionnaire, spécialement si ce mot de passe est utilisé pour la Master key de chiffrement de toutes vos données stockées sur MEGA ».

 

MegaCracker

 

Reste maintenant à voir si le site va évoluer sur ces différents points afin que les spécialistes de la question puissent le soumettre de nouveau à des tests plus ou moins poussés. Il sera aussi intéressant de voir si des clients open source seront aussi mis en place afin de permettre à la communauté d'exploiter MEGA tout en ayant un réel moyen de s'assurer du bon chiffrement des données.

 

Kim Dotcom a d'ailleurs annoncé qu'un challenge serait proposé afin de permettre à ceux qui découvrent des failles de repartir avec une somme rondelette. Les détails n'ont pour le moment pas été donnés.

 

 

Sachez enfin que nous avons mis notre dossier sur MEGA à jour afin de tenir compte de ces changements.

72 commentaires
Avatar de Edtech Abonné
Avatar de EdtechEdtech- 23/01/13 à 08:09:03

Signaler ce commentaire aux modérateurs :

Pour le moment, je n'ai pas encore reçu le mail de validation malgré une inscription il y a deux jours, donc pas pu tester

Avatar de anonyme_b93219f691a6afd6966660cd49d7951e INpactien

Signaler ce commentaire aux modérateurs :

Je suis loin d'être un pro dans le domaine de la sécurisation mais avec tout ce que se prend Mega dans la gueule il sera bientôt plus sécurisé que le Pentagone

Édité par Cacahuete586 le 23/01/2013 à 08:10
Avatar de David_L Équipe
Avatar de David_LDavid_L- 23/01/13 à 08:12:07

Signaler ce commentaire aux modérateurs :

Cacahuete586 a écrit :

Je suis loin d'être un pro dans le domaine de la sécurisation mais avec tout ce que se prend Mega dans la gueule il sera bientôt plus sécurisé que le Pentagone

Avec une Webapp et du JS ? J'ai comme un doute

Edtech a écrit :

Pour le moment, je n'ai pas encore reçu le mail de validation malgré une inscription il y a deux jours, donc pas pu tester

T'as redemandé un mail / utilisé une autre adresse (hotmail ?)

Avatar de Wype INpactien
Avatar de WypeWype- 23/01/13 à 08:14:10

Signaler ce commentaire aux modérateurs :

Ah enfin le retour d'un hebergeur avec des debit correct en free

Après j'aimerai bien savoir s'il y a un risque qu'on chope ou balance nos ip?

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 23/01/13 à 08:16:18

Signaler ce commentaire aux modérateurs :

David_L a écrit :

T'as redemandé un mail / utilisé une autre adresse (hotmail ?)

J'ai passé la soirée d'hier à changer de CPU et réinstaller Windows (oui, changer de CPU provoque des reboot en boucle si on est en Secure Boot sous Windows 8 !). Je n'ai donc pas eu le temps de m'en occuper... Je regarde ce soir !

Avatar de psikobare Abonné
Avatar de psikobarepsikobare- 23/01/13 à 08:18:02

Signaler ce commentaire aux modérateurs :

Wype a écrit :

Après j'aimerai bien savoir s'il y a un risque qu'on chope ou balance nos ip?

pourquoi donc, c'est pas comme si tu faisais quelque chose d'illégal

oh pardon, si, megaupload est entièrement destiné au téléchargement illégal, donc, oui, bien évidemment, tu risques des conséquences

Avatar de anonyme_edadaecc91c3bb908a8e0ab43a984c71 INpactien

Signaler ce commentaire aux modérateurs :

Wype a écrit :

Après j'aimerai bien savoir s'il y a un risque qu'on chope ou balance nos ip?

Tu as peur que ce soit le FBI qui ait filé de la thune à Kim Dotcom pour monter MEGA et constituer un annuaire d'IP de trafiquants d’œuvres protégées ? :P

Avatar de David_L Équipe
Avatar de David_LDavid_L- 23/01/13 à 08:19:46

Signaler ce commentaire aux modérateurs :

Wype a écrit :

Ah enfin le retour d'un hebergeur avec des debit correct en free

Après j'aimerai bien savoir s'il y a un risque qu'on chope ou balance nos ip?

Tes ips sont stockées, il y a donc un risque. Après tu peux choisir de la masquer via un VPN.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 23/01/13 à 08:20:18

Signaler ce commentaire aux modérateurs :

puisqu'il aura fallut de 2 min et 21 secondes

Moi je trouve ça rapide par rapport à mes débits de téléchargement en général donc en ce qui me concerne c'est plus que suffisant.

Avatar de loulou206 INpactien
Avatar de loulou206loulou206- 23/01/13 à 08:23:19

Signaler ce commentaire aux modérateurs :

Les débit de malade sur les screens

Vous avez trop de chance

Enfin mega fonctionne, je trouve que les problèmes technique ont été quand même rapidemment résolu

Il n'est plus possible de commenter cette actualité.
Page 1 / 8