|
|
Avec Mega, le mot de passe est plus que jamais une faille de sécurité
Guillaume Champeau -
publié le Lundi 21 Janvier 2013 à 16h42 -
posté dans Société 2.0
 Avec Mega, Kim Dotcom propose aux internautes 50 Go d'espace de stockage "sécurisé" gratuit. Mais attention. Si votre mot de passe est découvert, il sera impossible d'en changer pour éviter les actes malveillants.
Pour promouvoir le lancement du successeur de MegaUpload, Kim Dotcom a largement mis en avant la prétendue sécurité de Mega. Mais malgré les promesses marketing, celle-ci est loin d'être garantie dans les faits. Outre les failles d'implémentation pointées du doigt par Bluetouff, qui pourraient permettre de découvrir la clé RSA de chiffrement des données, Mega est articulé autour d'un principe fondateur qui devrait être considéré lui-même une énorme faille de sécurité. En effet, les utilisateurs inscrits sur Mega auront peut-être remarqué qu'il leur est impossible de changer de mot de passe. Or il ne s'agit pas d'un simple oubli dû à un lancement précipité, mais bien d'une fonctionnalité voulue et assumée. "Malheureusement, votre mot de passe MEGA n'est pas seulement un mot de passe", reconnaît Mega dans sa FAQ dédiée à la sécurité. "C'est la clé de décryptage principale de toutes vos données. Si vous le perdez, vous perdez l'accès à tous vos fichiers que vous n'avez pas dans le dossier partagé et que vous n'avez pas exportés précédemment par clé." Lorsque l'utilisateur créé son compte sur Mega, deux champs seulement sont à remplir : adresse e-mail, et mot de passe. Un code javascript est alors chargé de générer la clé de chiffrement de l'utilisateur, à partir du mot de passe, des mouvements de la souris, et de la manière dont les données ont été saisies au clavier. C'est cette clé qui est ensuite utilisée pour chiffrer les données avant qu'elles n'arrivent sur les serveurs de Mega. Mais comme le dénonce la version anglophone de Zdnet, l'impossibilité de modifier le mot de passe implique la nécessité absolue de ne jamais être victime du moindre piratage. Si votre mot de passe est découvert, les hackers pourront uploaer en votre nom n'importe quel contenu et le partager, rendre publics des fichiers qui étaient privés, supprimer tous les fichiers stockés sur Mega, ou télécharger l'ensemble. Il n'est pas non plus possible de supprimer un compte créé par l'utilisateur, la fonctionnalité n'ayant pas été implémentée par Mega. Il est donc plus que jamais nécessaire d'utiliser sur Mega un mot de passe unique, et surtout de prier pour ne jamais être victime de phising, d'un keylogger ou de toute autre technique qui permettrait à un hacker malveillant de mettre la main sur le mot de passe. Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud. Il est en effet impossible de modifier l'adresse e-mail, ce qui implique que le compte est aux mains d'une seule personne. Et quand bien même le compte serait créé avec une adresse générique (du type contact@entreprise.com), elle impliquerait de confier le mot de passe à des collaborateurs qui ont l'assurance de toujours garder l'accès aux fichiers même après démission ou licenciement. La seule sécurité apportée par Mega sur ce point est l'historique de session disponible dans l'onglet "Mon Compte". Il permet de voir les adresses IP à partir desquelles le compte a été utilisé, permettant de détecter un éventuel intrus :
à lire aussi
  Prix indiqués avec livraison
95
Commentaires à propos de «Avec Mega, le mot de passe est plus que jamais une faille de sécurité»
Comment ça se fait qu'on ne peut pas supprimer son compte utilisateur? C'est une blague? :/
Tout d'abord dans ce que Bluetouff "pointe du doigt" il y a du pertinent et de l'inutile.
Sur la possibilité de révoquer un compte client, ça viendra sûrement assez vite. Je pense même que Mega pourrait et aurait intérêt à mettre en place une procédure de changement de mot de passe (avec perte de tous les fichiers). Pour ce qui est de l'usage en entreprise, oui, ça ne semble pas pensé pour, mais il faut quand même préciser qu'on peut partager un dossier avec d'autres inscrits de la plate-forme, ce qui est une fonctionnalité suffisante pour les petites entreprises, à mon avis. Reste une remarque très pertinente : le mot de passe choisi innocemment à l'inscription (et sans confirmation) est hyper important. Ce serait bien de le préciser ! Après, il est tout à fait possible que Mega ajoute la possibilité de créer des comptes avec accès révocables ; tout cela évoluera sûrement.
Mega ne respecte pas la législation Française. Chaque Francais a le droit de modifier ses information personnelles (loi informatique et libertés)
Mais doit-elle s'y conformer vu l'emplacement de son hebergement? Les démarches au quel cas doivent être bien laborieuses. 
Mega clame depuis le début haut et fort être loin des juridictions américaines et européennes.
Tout est dit. Tout français a le droit de s'inscrire sur les sites respecteux de la loi aussi  
Absolument pas, Mega se trouve en NZ, il n'a pas à se conformer à la loi française mais néo zélandaise.
Non non, je te promets, la loi française ne s'applique que sur le sol de la république française autrement c'est de l’ingérence. Que le site soit conforme ou pas à nos lois n'est en tout cas pas un problème qui concerne la nouvelle Zélande.
Oui mais justement si le service est fourni à des français (et est à peu près pensé pour l'être, ce qui est le cas), la loi française s'applique. Une cassation au pif :
http://www.courdecas...97_9_15681.html Sinon il n'y aurait jamais de procès en France contre Google ou Twitter. L'inverse aurait des conséquences assez grave, la loi serait très facile à contourner.
Oui mais Google et Twitter sont présents physiquement en France, il serait même facile de leur bloquer de l'argent en cas de condamnation, c'est d'autant plus vrai qu'il y a des accords commerciaux avec les US.
Concernant Mega, on peut toujours porter plainte en France mais si le gros ne veux pas y répondre, il fait ce qu'il veut, il n'est pas soumis à la loi française.
Google oui, Twitter non.
Et encore une fois Mega.nz est soumis à loi française pour les raisons évoquées ci-dessus. Je t'invite à lire l'arrêt de cassation (c'est indigeste) ; petit extrait : "la cour d’appel, qui n’a pas dénaturé les conclusions des parties, a fait ressortir, tant l’accessibilité à ces sites pour les internautes français que la disponibilité en France des produits litigieux, et justifié sa décision de retenir la compétence des juridictions françaises". Il s'agit d'une société allemande qui avait un site dispo en France
Oui une société allemande, donc européenne, là il s'agit de la NZ, c'est une énorme différence.
Je me réponds à moi même, dans tout les cas, si tu veux porter plainte contre mega, ce sera avec le droit de la NZ, pas avec le droit français.
Dans cette décision, la Cour de cassation ignore totalement le fait que l'Allemagne soit dans l'UE. Donc NZ ou Allemagne, à mon avis, la décision serait la même.
Après c'est une histoire de convention international et de droit international.
La justice française peut très bien faire un procès et rendre un verdicts si l'entreprise étrangère ou la personne accusée refuse de s'y soumettre, la plainte sera transférée au pays de l'accusé, et si le pays en question refuse de négocier avec la justice française, la justice française ne peut rien faire. Il y a un tas d'exemples de personnes accusées dans un pays qui échappe aux sanctions car elle reste dans leur pays. 
Et du coup, le gouvernement français pourrait bloquer Mega en toute légalité, puisqu'il s'agirait d'une entreprise de multiples fois condamnée.
Il peut néanmoins être condamné par un juge français sur la base du droit français. Ensuite, c'est surtout une question d'exequatur, comment faire appliquer la sentence là-bas. Exactement comme dans le cas de Twitter et des hashtags racistes.
Je sais pas pourquoi, mais je vois bien les autorités de la NZ extrêmement coopératives avec tout le monde dès que des condamnations vont tomber à gauche à droite...
Ca c'est fort possible, à mon avis ça a déjà démarré même, seulement cette fois, il leurs faudra un dossier béton, pas comme la première fois et pas dit que les juges de la NZ veuillent bien repasser pour des cons non plus sans imposer une extrême prudence.
+1
J'ai pas de connaissance pointu dans le domaine juridique mais un peu de bon sens me fait plussoir tes dires. Sinon j'imagine le bordel que ça serait si dès qu'on créait un service sur internet, il fallait prendre en compte toute les lois qui existent dans le monde dont certaines pourraient même se contredire. Par contre il existe des "règles de commerce international" qui peuvent peut être s'appliquer. Edit : Pour faire un parallèle un peu/beaucoup fumeux je l'avoue. Qui des conducteurs français qui conduisent des véhicules loué à des société luxembourgeoises pour échapper à des contraventions. [message édité par choukky65 le 21/01/2013 à 18:10
]
Quand on crée un service sur le net, pour le commercialiser dans différents pays, on fait effectivement une analyse juridique de chacun des pays vers lesquels on exporte le service.
Certaines lois peuvent se contredire, on obéit alors à chacune sur chaque territoire, en offrant une version aménagée de son service. 
zig et puce
(Banni) le 21/01/2013 à 19:37
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:06
]
Neinmann
(Banni) le 21/01/2013 à 17:20
J'ai des doutes sur le fait qu'un mot de passe soit une donnée à caractère personnel au sens de la loi 78-17.
Et pourquoi ne pas chiffrer une clé générée aléatoirement avec le mot de passe : la clé chiffre tout le disque dur, et il est simple de changer de mot de passe (il suffit de ne rechiffrer que la clé  ?Ce n'est pas comme si ce principe était connu et abondamment utilisé...
J'avais aucune confiance dans MegaUpload, et je trouvais le modèle super malsain. Quitte à payer pour obtenir des contenus, autant payer l'offre légale, au moins l'artiste récupère une miette.
J'ai encore moins confiance en Mega. Le gros Dotcom n'est que la version funky des requins d'en face. Et comme il s'est déjà fait allumer par les ayant-droits et le FBI, faudra pas s'étonner quand ça va lui retomber dessus, et que des milliers de fichiers légaux vont encore se retrouver bloqués. Ou en vadrouille dans la nature, vu les failles de sécurité. 
"Le compte est au main d'une seule personne"...
Cette faute de français surprend de la part de Guillaume Chapeau, qui est le contraire d'un charlot.
Ce que j'aime bien c'est la dite FAQ sur la sécurité.
"I have forgotten my password. Can I reset it?" "Unfortunately, your MEGA password is not just a password - it is the master encryption key to all of your data. If you lose it, you lose access to all of your files that are not in a shared folder and that you have no previously exported file or folder key for." ... "Okay, time to ask again, I've LOST IT ! face it, it's lost ! Can I f****** reset that sh** ?" Bon bref, la réponse non apportée reste "non". Pas de reset, il faut considérer le compte définitivement perdu, et impossible de se réinscrire avec le même mail, puisse t'il être votre mail principal. On ne peut même pas demander à récupérer le compte, quitte à ce qu'il soit vidé de ses fichiers impossible à récupérer... [message édité par Killua le 21/01/2013 à 17:39
]
J'ai limite l'impression que c'est volontaire, et encore une fois ils se couvrent : "mince j'ai perdu mon mot de passe" et "je ne suis plus en mesure de garantir la légalité des contenus sur mon espace" qui est maintenant accessible à tout le monde, "zut!"
avec 1 cambriolage en France toutes les 3mn, la gueule de ton "sécurisé" .... rotfl ...
le troll de quoi ? avoir son propre serveur chez soi est d'une connerie totale du point de vue de la sécurité... tu as des vigiles, des cameras de surveillance, des alarmes, des extincteurs automatiques chez toi ? ...
non. Alors c'est même pas la peine de parler sécurité, on commence par la b-a-ba ... c'est chiant à force de parler à des ado geek déconnectés de tout contexte pro réel ...
Bon, alors, les "failles d'implémentation mises en avant par Bluetouff", euhh... Comment dire... Prenons point par point :
Article original : Ceux qui ont essayés de se connecter sur mega.co.nz avant l'ouverture de Mega auront remarqués qu'il y avait une redirection vers kim.com/mega. Apparemment pas lui, puisqu"il fait son nmap dessus. Donc, osef des ports ouverts, du mode debug et du reste. Donc pas de 'faille' là dessus Update 1 : Ah ben oui... Il fait un dig ! C'est une énoooooorme faille ! Donc, à la benne aussi. Update 2 : Enfin un nmap sur le(s) vrai(s) serveur(s). Hmmm, le port 80, ça me parait dangereux ! Tout comme le 443 ! Le 22, à la limite, c'est potentiellement dangereux. Et encore ! Donc argument non valide. Update 3 : Hmm intéressant, un sous domaine static. Encore une fois très dangereux. Ne pas réussir à uploader. C'est une faille aussi tiens. A la limite juste la rançon du succès. Accessoirement il peste contre les mouvements de souris et les keystrokes pour la création de la clé, mais il dit juste après que les logiciels sérieux utilisent cette méthode. Qui a dit "Contradiction" ? Argument invalidé. Update 4 : Crypto 1024 bits et XSS. Enfin des vraies failles, pour une fois. Update 5 : Des ports qui auraient bizarrement été ouverts. Ah ben non en fait, ils sont "filtered". Donc encore une fois inutile. Update 6 : Comme pour l'update 3. Rançon du succès. Update 7 : Il faudra m'expliquer, parce qu'il n'y a AUCUNE preuve de ce qu'il avance. Après tout, je peux très bien dire que je suis une blonde de 30 ans à forte poitrine, si j'ai rien pour le prouver... Argument non valide, encore une fois ! Update 8 : QUOI ! UNE ERREUR DE CERTIF ! OH MY GOOOOD ! Ah ben en fait non, le certif est renseigné pour mega.co.nz, pas pour l'IP ! Zut de flute alors. Dernier argument invalide. Donc, sur toutes les "failles" qu'il met en avant, on ne retiendra au final que l'update 4. Bravo l'analyse. Des comme ça, j'en ai vu dans le même genre pas plus tard qu'aujourd'hui. Mais si, des analyses qui arrangent la réalité !
hé machin t'es sur d'avoir lu l'article? allez je reprends, comme toi:
update1: il n'a pas parlé de faille, d'où tu sors ça? update2: il décrit, c'est tout. où vois-tu la moindre critique? update3: là encore juste de l'info. où vois tu parle de danger? où vois-tu qu'il peste contre le mouvement de souris? il dit juste que la méthode n'a rien de révolutionnaire. update4: le seul que tu as lu, en fait.... update5: et bin? il décrit, c'est tout. update6: pareil, il décrit, que veux-tu qu'il dise, qu'il y accède??? update7: non mais franchement tu l'as vu le script avant de dire qu'il n'y a pas de preuve que l’algorithme est pas terrible???? ensuit il dit que mega PEUT très bien ne pas chiffrer coté serveur sans avertir le client, où as-tu besoin de preuve là encore??? update8: quel rapport avec l'ip???? quel que soit l'ip le certificat reste valide, qu'est-ce que tu comprends pas??? ah, en fait tu comprends rien. ok, au temps pour moi...
Juste de l'info, juste de l'info... C'est quand même toujours un peu à charge :
"Update 5 : Bon ça commence à être la fête du slip," "Update 8 : les bizarreries au niveau du certificat SSL commencent." Et souvent porteur de sous-entendu là où il n'y a rien à sous-entendre. Je me souviens d'une phrase qui était présente samedi soir sur le blog et que bluetouff a supprimé, quelque chose du type "ça y est on dirait que les serveurs Mega ont été infiltré" Et pour l'update 8, ce que veut dire ploufplouf, c'est que sur la capture d'écran on voit un navigateur avec une adresse IP dans la barre d'adresse, et une fenêtre avec un certificat VALIDE pour mega.co.nz. Juste au-dessus est écrit : "Ce qui était valide hier ne l’est plus aujourd’hui :". Fail ?
Machin ? Mon pseudo n'est pas forcément très recherché, mais un peu de cyberpolitesse ne serait pas désagréable... Mais passons.
Comme le dit juste en dessous thb, c'est pas réellement informatif. L'article de Bluetouff est totalement orienté contre Mega. Les 3/4 de son article sont inutiles (l'exemple du dig est le plus adapté imho. On voit qu'il y a un A et des NS,comme partout en fait). Je ne vais pas répondre à tout, mais juste sur les points qui me titillent le plus? "update3: là encore juste de l'info. où vois tu parle de danger? où vois-tu qu'il peste contre le mouvement de souris? il dit juste que la méthode n'a rien de révolutionnaire." Je cite bluetouff : "mouais bof". C'est effectivement uniquement informatif ça ! "update7: non mais franchement tu l'as vu le script avant de dire qu'il n'y a pas de preuve que l’algorithme est pas terrible????" Si tu parles du petit morceau qu'il a mis en capture d'écran, effectivement, ça serait un peu light. Mais en l'occurence, le ficher est un peu plus gros. https://eu.static.me...o.nz/crypto.js. Donc non, je n'ai pas regardé TOUT le ficher. "ensuit il dit que mega PEUT très bien ne pas chiffrer coté serveur sans avertir le client, où as-tu besoin de preuve là encore???" Intéret pour DotCom de faire ça ? Aucun ! Si jamais il s'aventure la dedans, il est perdu, parce que justement, toute sa nouvelle plateforme se base sur le fait qu'il ne PUISSE PAS savoir ce qu'il y a comme fichiers, pour rester dans la légalité. Il y a là un peu plus de réflexion (sans me vanter) que son simple "Méga peut très bien désactiver le chiffrement serveur side" Merci à thb pour l'update 8, je n'ai pas à expliquer.
Mega répond à un certain nombre de points, avec pertinence je dois dire :
https://mega.co.nz/#blog_3 Cela part notamment du SSL 1024 bits, et de la désactivation du cryptage. 
Déconseiller à une entreprise d'éviter un service en beta? Mais t'es un génie, Guillaume!! T'es un PUTAIN DE GÉNIE!!!  [message édité par Trycer le 21/01/2013 à 19:01
]
Avant de crier au loup... C'est marqué en assez gros je pense "BETA", les ajouts de fonctionnalités telles que modifier son nom, ou son mot de passe tous les jours n'ont sûrement pas été une priorité pour l'équipe de développement
Ensuite... Je ne suis pas sûr de ce que j'annonce, c'est une simple hypothèse, mais le changement de mot de passe s'il inclut un changement de clé n'aboutit pas à la réencryption de tout les fichiers ?
zig et puce
(Banni) le 21/01/2013 à 19:34
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:08
]
Bah oui, on s 'en doutait ,non ?
Tout est comme ça, sinon faut passer à la biométrie et puis à ça et puis à ça, etc....... Faudra avancer en même temps que la technologie mais plus vite que les AD. 
Bref, je suis sans doute un peu teubé et j'ai pas pris le temps d'explorer de fond en comble tous les articles sur cette merde, mais je vois toujours pas en quoi ces histoires de chiffrement changent quoi que ce soit au problème juridique. Je ne vois toujours pas en quoi cette nouvelle version du bazar le mettrait à l'abri des poursuites et du shut down qu'il a précédemment subi.
Et bien en fait, Mega ne voit jamais passer et ne stocke aucun fichier en clair. De plus Mega n'a aucun moyen de décrypter le moindre fichier..
Or, dans l'acte d'accusation de janvier 2012, on peut lire que les chefs d'accusation sont liés à la connaissance que Megaupload avait de l'illégalité des fichiers (et donc à leur mauvaise foi). Donc en n'ayant nulle connaissance du contenu, et en répondant rapidement à toute demande de takedown, ils sont complètement protégés par le DMCA et autres lois similaires dans d'autres pays. De plus, il ne sera pas possible de passer du "take down" au "stay down" car les fichiers étant cryptés, si un même fichier est envoyé par deux utilisateurs différents, Mega ne sera pas en mesure de savoir que c'est le même fichier et ne pourra supprimer l'un quand on lui demande de supprimer l'autre. 
" si un même fichier est envoyé par deux utilisateurs différents, Mega ne sera pas en mesure de savoir que c'est le même fichier et ne pourra supprimer l'un quand on lui demande de supprimer l'autre."
Bien sûr que si, cf https://mega.co.nz/#terms : "8. Our service may automatically delete a piece of data you upload or give someone else access to where it determines that that data is an exact duplicate of original data already on our service. In that case, you will access that original data." L'application sait que le fichier qu'on upload existe ou pas dans sa base de donnée.
Il y a eu de longues discussions à ce sujet sur différents forums depuis quelques jours. Voici les points principaux :
- Le fait qu'ils se donnent le droit de faire quelque chose ne veut pas dire qu'ils le font, ou qu'ils le font déjà - Lire la clause 8 des ToS ne nous donne aucune information sur la technique potentiellement employée : déduplication au sein d'un même compte ou déduplication entre plusieurs comptes - Il est techniquement possible qu'ils fassent de la déduplication inter-comptes, mais ce serait extrêmement dangereux pour eux, je pense qu'ils ne le feront pas - Quand on lit les explications techniques fournies par Mega, on a plutôt l'impressions qu'il n'y a pas de hash non crypté de chaque fichier, mais il n'y a pas de certitude à ce sujet. Pour l'instant qu'il n'y aura pas de déduplication inter-compte, mais ce sera sans doute éclairci dans les jours qui viennent.
Si on se contente de lire le point 8 c'est très clair "or give someone else access to where it determines that that data is an exact duplicate of original data already on our service"
Someone else. Un autre compte quoi. Dit comme cela c'est inter compte. En gros traduit ça donne : "Notre service peut automatiquement effacer un fichier que vous uploadez ou y permettre l'accès à quelqu'un d'autre si il établi que ces données sont une copie exacte de données originales déjà présentes dans notre service". Je vois pas en quoi on ne peut pas établir qu'il parle d'inter-compte, c'est vraiment clair Oo [message édité par tass_ le 22/01/2013 à 12:37
]
Tu as tout à fait raison j'ai mal lu !!
Reste mon argument sur le fait qu'ils se donnent le droit mais que ça peut ne pas servir ; enfin bon ta précision me fait réfléchir quand même...
https://mega.co.nz/#blog_3
Bon ben mon impression était plutôt la bonne quand même, Mega confirme qu'il n'y aura pas de déduplication inter-compte sauf dans le cas particulier d'un partage de fichier, puisque la dédup se fera sur la base de la version cryptée du fichier et non de la version claire.
zig et puce
(Banni) le 22/01/2013 à 10:56
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:07
]
Sauf qu'il n'y a pas le nom des marchandises sur les camions.
L'analogie a ses limites comme toute analogie. En l'occurrence, je pense que la défense de Mega tient la route.
Sauf qu'il y a tout un tas de panneaux d'affichage au centre ville indiquant quelle marchandise volée est dans quel camion.
Pour rester dans le réel et pas dans l'analogie, le fait qu'un contenu crypté soit posté sur un forum ou sur un site de DDL, sur une page indiquant clairement ce que c'est et donnant la clé de décryptage, ne pourra pas inquiéter Mega.
On ne peut pas demander à Mega de faire le tour des sites de DDL pour faire le ménage sur son service, ça restera aux ayant-droits de faire des demandes de retrait individuelles.
Ouais je comprends, mais ça me semble un déplacement de la question. Si le gros Dotcom ne compte que sur ça pour échapper à de nouvelles poursuites, il est pas sorti des emmerdes.
Même s'il prétend ne pas savoir ce qui est hébergé sur ses serveurs, de facto il va se retrouver à héberger ce que les ayant-droits appellent (et tous les juristes avec) des contrefaçons. On peut parler de "recel" de contrefaçons en droit français, et j'suis pratiquement certain qu'il existe la même chose aux USA. Le simple fait d'héberger des contrefaçons ça le met en cause. Ensuite comme tu dis, il peut se réfugier derrière un système de "notice and take down", et se retrouver donc logé à la même enseigne que n'importe quel autre hébergeur : pas tenu d'une obligation de surveillance générale et de suppression a priori, mais tenu de virer tout contenu à réception d'une injonction. D'ennemi juré des ayant-droits, Mega deviendrait alors leur exécutant, à l'instar de Youtube, de Google ou de n'importe quel hébergeur classique. Si en plus il est démontré qu'à un stade ou un autre du processus, Mega sait quel type de fichier est enregistré sur ses serveurs (et c'est clair que les autorités vont chercher), et qu'en outre, la majorité des fichiers est piratée, Mega va rejoindre son grand frère en quatrième vitesse au cimetière des fausses bonnes idées. Le FBI et les ayant-droits ont déjà démontré de quelle radicalité ils pouvaient faire preuve. S'il s'agissait juste d'adopter les lignes de défense que Rapidshare ou autres concurrents ont adopté après l'exécution de MegaUpload, c'était pas la peine de faire tout ce barouf médiatique. Dotcom a vraiment tous les attributs des requins qu'on conchie par ailleurs... [message édité par U. Harkogansk-Malatesta le 22/01/2013 à 11:54
]
Oui mais tout le système est justement pensé pour qu'il ne sache JAMAIS ce qui passe par ses serveurs.
Autre point intéressant, il ne stockera pas de contrefaçons. Il stockera des fichiers qui deviennent des contrefaçons si on leur applique une certaine clé de décryptage. Sans cette clé ils sont inutilisables. Je pense qu'on verra des débats juridiques sur ce point.
Sans aucun doute. La question du "moment" où le fichier est une contrefaçon avérée va cristalliser les débats. Ensuite, la question de savoir si Mega savait ou pas que c'était une contrefaçon, c'est très secondaire. En droit français par exemple, on se fout de savoir si tu savais ou pas que c'était un faux Vuitton que tu as ramené d'Italie. Et c'est la même logique qu('on applique à toute forme de "contrefaçon"
(PS : oui, je sais tout le vice de ce terme qui ne devrait pas être unique pour viser des choses aussi diverses qu'un faux sac Chanel, un plagiat littéraire poussé, un téléchargement sans droit et la citation d'une marque... mais il se trouve qu'on leur colle à tous le même régime juridique, jusqu'à présent).
Pour le faux Vuitton tu es sûr ? Je connais très mal le sujet mais on m'avait dit qu'on pouvait retenir contre l'acheteur le fait qu'il ait acheté le sac contrefait à un prix manifestement très bas et à un vendeur manifestement douteux.
Question corollaire, si j'achète un sac Vuitton contrefait au prix réel dans une vrais boutique Vuitton (qui ferait de la contrefaçon pour une raison très étrange), est-ce que je peux être inquiété aussi ? C'est une question sincère et non rhétorique. Concernant le DMCA et en France le LCEN, le fait que l'on ait connaissance ou non du contenu illégal que l'on héberge, et qu'un tiers a uploadé sur votre service, est centrale et fait toute la différence dans l'obtention ou non du statut protecteur d'hébergeur.
ya un gros problème là, sous ubuntu + firefox, mega demande d'installer le dernier flash player pour downloader une simple photo... déja c'est lourd... mais je suis en v11.2 dernière version compatible linux ...
on fait comment ? si mega est incompatible linux + firefox c'est la grosse lose ... 
Je suis le seul qui a compris que ce système donne a méga la capacité d'ignorer la présence de fichiers illégaux?
Si le mot de passe est en fait une clef de cryptage client, ça signifie que méga ne peut PAS savoir ce qui est dans vôtre espace de stockage (j'assume que le client hash le mot de passe pour s'autentifier. Si l'encryption de données est faite du côté client, celà empèche méga de "rendre service" aux gouvernements/compagnies qui veulent empècher certaines données de filtrer. Ne pas pouvoir changer de mot de passe est évident, comment vous changez de clef de cryptage si vous n'utilisez pas un système type LUKS ( 1 ou plusieurs clefs encryptent la clef de cryptage qui elle ne change jamais). et LUKS est hors de question dans ce cas de figure ou l'idée est de mettre le cryptage en dehors de mega lui-même.
enfin, compris, pour la première ligne, parce qu'après...
le changement du mot de passe arrive sur mega au fait... 
Source : https://mega.co.nz/#blog_3
"however, this will change in the near future:A password change feature will re-encrypt the master key with your new password and update it on our servers" 
Question idiote : est-ce que justement le fait de ne pas pouvoir changer le mot de passe; n'est pas voulu. VOULU, dans le sens, ou si on réfléchit bien loin; il constitue peut-être justement une défense valable vis à vis de la loi.
Monsieur le juge, mon compte a été piraté; ce n'est pas moi qui upload. Enfin un truc dans ce gout la. Pour moi, ce fait est voulu et bien réfléchi et si quelques désagréments; à mon avis, bien utile justement. ;-)
ploufplouf, le 22/01/2013 - 11:14 Machin étant n'importe qui qui peut se servir de ton pc pendant que t'as le dos tourné. Tu veux que je l'appelle comment? Bidule? "LeMecQuiSeSertDuPcSansAutorisation"?
Cela rend aussi la saisie de données du serveur complètement inutile, tu te retrouve avec des tas de disques durs remplis de purée cryptée dont même les administrateurs n'ont aucune connaissance.
C'est un peu le même principe que ZeroBin, tout le chiffrage est faite côté client: http://www.sebsauvage.net/paste/ [message édité par dieangel le 22/01/2013 à 12:56
]
Oui enfin je suis pas sûr que cet argument tienne très longtemps alors qu'il y a déjà ça :
http://searchonmega.com/ Et que bientôt des tas de blogs et d'annuaires en tout genre vont faire des releases en pointant vers Mega. Alors oui techniquement les admins ne savent pas ce qu'il y a dans les serveurs. En pratique c'est pas si vrai 
Je pense que la sécurité promise par KimDotcom était plus un effet d'annonce qu'autre chose. Après le "cloud" posera toujours de problèmes de sécurité que cela soit sur Mega ou d'autres services. Je vous conseille d'éviter de stocker vos documents importants, d'une manière générale dès que vous envoyez un fichier sur l'un de service considérez le comme publique. Pour les données confidentielle la solution que je conseille toujours c'est de faire des copies sur une clé USB ou un disque dur externe. Après si on tient à faire des sauvegardes en lignes il est toujours possible de chiffrer les données avec le logiciel TrueCrypt, ou bien encore plus simple créer une archive avec un mot passe avec 7-Zip par exemple.
Curistel, le 23/01/2013 - 22:18 autant payer 100 euro au lieu de zéro, oui logique hein ...
L'idée du nouveau Mega, c'est de protéger la nouvelle société Méga. Mais les conditions d'utilisations sont claires.
Sur réquisition de justice ou Ayant-Droits, les fichiers litigieux seront supprimés et les comptes fermés si récidives. Et toutes vos informations personnellles et tous les LOG (journaux de connection et d'activité d'un compte) seront fournis à la justice, si Mega recoit une demande en ce sens. Alors protégez vous, si vous voulez éviter qu'on remonte jusqu'à vous. VPN payant non français, et surtout ne faisant pas de LOG. Payez avec un compte en ligne, qui n'a pas de lien avec un compte banquaire officiel. Bref restez totalement anonyme. N'utilisez pas un email tracable, mais totalement gratuit et anonyme. Attention aux emails anonymes qui vous demande d'utiliser un email tracable obligatoire pour ouvrir votre compte gratuit. Ne faites pas non plus de redirection vers un email tracable. Enfin crypter vous même vos fichiers avant de les envoyer. Ainsi votre fichier crypté, sera recrypté (sans connaitre son contenu réel) par Méga. Autrement dit même si la clef Méga de cryptage devient public, une fois décrypté le fichier issu de Méga sera un autre fichier crypté. Et bien sur, la clef initiale de cryptage ce sera à vous de la garder secrete. Ca c'est pour les données confidentielles ou personnelles. Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
  6 offres à partir de 43 €
 10 offres à partir de 37 €
Télécharger
nokia pc suite,
mp3 to converter,
online tv adult,
tor,
voissa anonymo,
microsoft office,
virtualgirl hd,
bittorrent emule island,
Accès rapide :
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
|
Outre le raisonnement autour du mot de passe, qui me semble logique, c'est une évidence et un rappel de force aux multiples entreprises qui ont une politique de sécurité calamiteuse ou inexistante.
Ca avait été beau, avec la fermeture de Megaupload, de découvrir dans les plaignants pour "perte de données" qu'il y avait des PME, mais aussi de grosses boites dont certains services avaient pour politique de tout stocker sur ce service qui était TOUT SAUF PROFESSIONNEL.
Faut arrêter deux secondes. C'est bien pour échanger des photos entre famille, si on ne veut pas forcer à créer des comptes Google pour Picasa, mais y mettre des données professionnelles, avec tout ce que ça comporte comme faille de sécurité, de secrets professionnels etc...
Il existe suffisamment de prestataires pros, à des tarifs compétitifs pour ne pas se livrer à ça. Comme se le coiffeur vous lavait les cheveux en récupérant des échantillons gratos à la sortie du Métro. Et "Je peux pas vous laver les cheveux cette fois-ci, ils les distribuent à une autre bouche de métro." C'est ballot, oui...
C'est comme les gens qui démarchent leurs clients via MSN. On a envie de rire (plutôt que de pleurer).
Sécurisé correctement c'est le top. Après des backups sous forme d'archives cryptées solidement sur un service de stockage en ligne pourquoi pas.
Au pire, on paye un prestataire de service qui pour moins de 600€ matos compris, vous installe un NAS accessible partout dans le monde.