MegaCracker : Un outil pour cracker les mots de passe Mega via la confirmation

2
Ouverture Mega - Megabox le 20 janvier 2013 - me.ga

Un chercheur en sécurité a trouvé une faille cryptographique dans le système du tout nouveau site Mega.co.nz. La vulnérabilité est susceptible de révéler les mots de passe des utilisateurs. Un logiciel est d’ores-et-déjà disponible en téléchargement.

Qui a parlé d’un projet purement marketing mais absolument pas poussé techniquement et ne reprenant que des concepts déjà existant ? Combien d’entre vous ont été déçus par ce “DropBox-Like” inutilisable pour le Warez et le DDL ? Dès sa sortie, le site présentait de multiples vulnérabilités et faiblesses qui réduisaient à néant la “révolution numérique” et la sécurité tant décriées par Kim Dotcom… Enfin, que dire des fonctionnalités de base (promis par le mégalomane soit dit en passant) même pas disponibles telles que l’upload à un taux de transfert supérieur à 4 Ko/s ou encore le simple téléchargement d’un fichier à cause d’un soit disant manque de moyens face à l’incroyable trafic ?

A l’heure où cet article est rédigé, plusieurs fichiers musicaux notamment sont déjà en erreur car supprimés pour non respect des conditions d’utilisations imposées par Mega. Et oui ! Fini les espoirs de ceux qui croyait que Mega était un clone de MegaUpload. La vérité c’est que ce projet n’a plus rien à voir et que Kim n’a pas pris le risque de finir en prison.

Bref, ceux qui appellent ça une “réussite”vivent sur une autre planète ou se sont endormis entre temps et ont rêvés…

Mais revenons au sujet. Un chercheur en sécurité nommé Steve Thomas vient de mettre à disposition un outil baptisé MegaCracker. Le but est simple, cracker le chiffrement mis en place sur Mega.co.nz dans le système de mot de passe et de vérification par mail lors de l’inscription. A noter qu’une première liste de hashs a été diffusée.

L’outil sert à cracker le lien de confirmation envoyé par e-mail lors de l’inscription sur Mega. Pour réussir cela, il faut cependant intercepter le courrier communiqué par le site. Étant donné que Mega utilise le navigateur Web des visiteurs pour envoyer les informations de chiffrement, cela ouvre la voie aux pirates pour intercepter les clés SSL en cassant ou en réquisitionnant les serveurs de Mega. Problèmatique, surtout que certains de ces serveurs sont situés aux États-Unis.

Cerise sur le gâteau, le chercheur diffuse les premiers hashs crackés… sur Mega !

2 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.