Mega vs Sécurité : Kim Dotcom répond aux critiques sur la sécurité de son service

1
72

Malgré un énorme succès, le nouveau service Mega a été largement critiqué par rapport à sa sécurité par plusieurs experts. Kim Dotcom apporte des réponses à ces critiques via son site officiel.

Selon Kim Dotcom, le lancement de Mega a été un véritable succès, avec le million d’utilisateurs dépassé très rapidement. Le charismatique patron du site a toutefois tenu à s’excuser puisque les serveurs n’ont pas tenu la charge peu après le lancement, créant des lenteurs et dysfonctionnements.  

Mais le point principal n’est pas ici : de nombreuses critiques ont été adressées quant à la sécurité du site. Premièrement, on reprochait à Mega de ne pas pouvoir changer le mot de passe ajouté lors de l’inscription, ce qui peut poser de gros problèmes en cas de piratage ou même tout simplement d’oubli. Une nouvelle fonctionnalité devrait assez rapidement voir le jour pour corriger ce problème. Elle “permettra de re-chiffrer la master key avec le nouveau mot de passe” et de la mettre à jour sur les serveurs de Mega.

Chiffrement en 2048 ou 1024 bits 

Mega répond ensuite de manière plus cinglante à une phrase tirée d’un article de Forbes, arguant qu’il est possible de casser le SSL de Mega. “Certes. Mais si vous pouvez casser le SSL de Mega, vous pouvez casser de nombreuses autres choses bien plus intéressantes que Mega“. Le site explique encore qu’il utilise un chiffrement 2048-bit sur ses serveurs du site mega.co.nz, et 1024-bit sur son deuxième site static.co.nz. Mais Mega assure que tout le contenu qui transite entre les deux sites est systématiquement vérifié pour éviter les attaques type “man in the middle”.  

Enfin, il glisse une phrase sur l’outil MegaCracker, qui permet d’extraire les mots de passe utilisateurs des mails de confirmation reçus après inscription : “C’est un excellent moyen de rappeler qu’il ne faut pas utiliser de mot de passe facilement devinable, surtout si le mot de passe est utilisé en tant que master key“.  

Bref, détournement très efficace comme d’habitude de sa part. Il n’évoque à aucun moment les multiples vulnérabilités XSS découverte dans l’heure même de la mise en ligne de Mega… Un oubli ça aussi ? Pourtant le co-fondateur Bram van der Kolk les a bien confirmé via Twitter.

 

Source : L’informaticien

Les commentaires sont fermés.