Publié par Guillaume Champeau, le Lundi 21 Janvier 2013

Avec Mega, le mot de passe est plus que jamais une faille de sécurité

Avec Mega, Kim Dotcom propose aux internautes 50 Go d'espace de stockage "sécurisé" gratuit. Mais attention. Si votre mot de passe est découvert, il sera impossible d'en changer pour éviter les actes malveillants.

Pour promouvoir le lancement du successeur de MegaUpload, Kim Dotcom a largement mis en avant la prétendue sécurité de Mega. Mais malgré les promesses marketing, celle-ci est loin d'être garantie dans les faits. Outre les failles d'implémentation pointées du doigt par Bluetouff, qui pourraient permettre de découvrir la clé RSA de chiffrement des données, Mega est articulé autour d'un principe fondateur qui devrait être considéré lui-même une énorme faille de sécurité.

En effet, les utilisateurs inscrits sur Mega auront peut-être remarqué qu'il leur est impossible de changer de mot de passe. Or il ne s'agit pas d'un simple oubli dû à un lancement précipité, mais bien d'une fonctionnalité voulue et assumée. "Malheureusement, votre mot de passe MEGA n'est pas seulement un mot de passe", reconnaît Mega dans sa FAQ dédiée à la sécurité. "C'est la clé de décryptage principale de toutes vos données. Si vous le perdez, vous perdez l'accès à tous vos fichiers que vous n'avez pas dans le dossier partagé et que vous n'avez pas exportés précédemment par clé."

Lorsque l'utilisateur créé son compte sur Mega, deux champs seulement sont à remplir : adresse e-mail, et mot de passe. Un code javascript est alors chargé de générer la clé de chiffrement de l'utilisateur, à partir du mot de passe, des mouvements de la souris, et de la manière dont les données ont été saisies au clavier. C'est cette clé qui est ensuite utilisée pour chiffrer les données avant qu'elles n'arrivent sur les serveurs de Mega.

Mais comme le dénonce la version anglophone de Zdnet, l'impossibilité de modifier le mot de passe implique la nécessité absolue de ne jamais être victime du moindre piratage. Si votre mot de passe est découvert, les hackers pourront uploaer en votre nom n'importe quel contenu et le partager, rendre publics des fichiers qui étaient privés, supprimer tous les fichiers stockés sur Mega, ou télécharger l'ensemble. Il n'est pas non plus possible de supprimer un compte créé par l'utilisateur, la fonctionnalité n'ayant pas été implémentée par Mega.

Il est donc plus que jamais nécessaire d'utiliser sur Mega un mot de passe unique, et surtout de prier pour ne jamais être victime de phising, d'un keylogger ou de toute autre technique qui permettrait à un hacker malveillant de mettre la main sur le mot de passe.

Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud. Il est en effet impossible de modifier l'adresse e-mail, ce qui implique que le compte est aux mains d'une seule personne. Et quand bien même le compte serait créé avec une adresse générique (du type contact@entreprise.com), elle impliquerait de confier le mot de passe à des collaborateurs qui ont l'assurance de toujours garder l'accès aux fichiers même après démission ou licenciement.

La seule sécurité apportée par Mega sur ce point est l'historique de session disponible dans l'onglet "Mon Compte". Il permet de voir les adresses IP à partir desquelles le compte a été utilisé, permettant de détecter un éventuel intrus :

Publié par Guillaume Champeau, le 21 Janvier 2013 à 16h42
 
95
Commentaires à propos de «Avec Mega, le mot de passe est plus que jamais une faille de sécurité»
Inscrit le 03/01/2012
390 messages publiés
"Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud."

Outre le raisonnement autour du mot de passe, qui me semble logique, c'est une évidence et un rappel de force aux multiples entreprises qui ont une politique de sécurité calamiteuse ou inexistante.

Ca avait été beau, avec la fermeture de Megaupload, de découvrir dans les plaignants pour "perte de données" qu'il y avait des PME, mais aussi de grosses boites dont certains services avaient pour politique de tout stocker sur ce service qui était TOUT SAUF PROFESSIONNEL.

Faut arrêter deux secondes. C'est bien pour échanger des photos entre famille, si on ne veut pas forcer à créer des comptes Google pour Picasa, mais y mettre des données professionnelles, avec tout ce que ça comporte comme faille de sécurité, de secrets professionnels etc...

Il existe suffisamment de prestataires pros, à des tarifs compétitifs pour ne pas se livrer à ça. Comme se le coiffeur vous lavait les cheveux en récupérant des échantillons gratos à la sortie du Métro. Et "Je peux pas vous laver les cheveux cette fois-ci, ils les distribuent à une autre bouche de métro." C'est ballot, oui...

C'est comme les gens qui démarchent leurs clients via MSN. On a envie de rire (plutôt que de pleurer).
[message édité par Neinmann le 21/01/2013 à 16:52 ]
Inscrit le 24/12/2011
2271 messages publiés
C'est vrai qu'il y a des services pro qui sont beaucoup mieux, mais je vois pas pourquoi s'interdire de se transférer un fichier entre services ou entre client / fournisseur par le biais de Mega(upload), à partir du moment où on le crypte avant de l'envoyer.
Inscrit le 28/03/2012
676 messages publiés
Ou simplement une tour et un accés haut débit. Pour la majorité des entreprises qui ne se partagent que des petits fichiers en faible nombre c'est amplement suffisant.
Sécurisé correctement c'est le top. Après des backups sous forme d'archives cryptées solidement sur un service de stockage en ligne pourquoi pas.
Inscrit le 18/09/2012
121 messages publiés
Mouai, si ledit service informatique n'est pas capable de mettre un répertoire partagé sur le domaine ou un VPN en place, le problème, ce n'est pas la sécurité des comptes, c'est le service informatique lui même.

Au pire, on paye un prestataire de service qui pour moins de 600€ matos compris, vous installe un NAS accessible partout dans le monde.
Inscrit le 18/06/2003
101 messages publiés
Comment ça se fait qu'on ne peut pas supprimer son compte utilisateur? C'est une blague? :/
Inscrit le 10/03/2009
492 messages publiés
en europe il me semble que c'est meme carrément illégal
Inscrit le 04/06/2010
2564 messages publiés
qu'est-ce que ça peut faire ? tu effaces le contenu et laisses la boite boite, il reste quoi ?
Inscrit le 24/12/2011
2271 messages publiés
Tout d'abord dans ce que Bluetouff "pointe du doigt" il y a du pertinent et de l'inutile.
Sur la possibilité de révoquer un compte client, ça viendra sûrement assez vite. Je pense même que Mega pourrait et aurait intérêt à mettre en place une procédure de changement de mot de passe (avec perte de tous les fichiers).
Pour ce qui est de l'usage en entreprise, oui, ça ne semble pas pensé pour, mais il faut quand même préciser qu'on peut partager un dossier avec d'autres inscrits de la plate-forme, ce qui est une fonctionnalité suffisante pour les petites entreprises, à mon avis.

Reste une remarque très pertinente : le mot de passe choisi innocemment à l'inscription (et sans confirmation) est hyper important. Ce serait bien de le préciser !

Après, il est tout à fait possible que Mega ajoute la possibilité de créer des comptes avec accès révocables ; tout cela évoluera sûrement.
Inscrit le 13/10/2010
52 messages publiés
Mega ne respecte pas la législation Française. Chaque Francais a le droit de modifier ses information personnelles (loi informatique et libertés)

Mais doit-elle s'y conformer vu l'emplacement de son hebergement? Les démarches au quel cas doivent être bien laborieuses.
Inscrit le 28/03/2012
676 messages publiés
Mega clame depuis le début haut et fort être loin des juridictions américaines et européennes.
Tout est dit.
Tout français a le droit de s'inscrire sur les sites respecteux de la loi aussi
Inscrit le 04/01/2012
299 messages publiés
Absolument pas, Mega se trouve en NZ, il n'a pas à se conformer à la loi française mais néo zélandaise.
Inscrit le 24/12/2011
2271 messages publiés
Même pour fournir un service à des français ? J'en doute fort.
Inscrit le 04/01/2012
299 messages publiés
Non non, je te promets, la loi française ne s'applique que sur le sol de la république française autrement c'est de l’ingérence. Que le site soit conforme ou pas à nos lois n'est en tout cas pas un problème qui concerne la nouvelle Zélande.
Inscrit le 24/12/2011
2271 messages publiés
Oui mais justement si le service est fourni à des français (et est à peu près pensé pour l'être, ce qui est le cas), la loi française s'applique. Une cassation au pif :
http://www.courdecas...97_9_15681.html
Sinon il n'y aurait jamais de procès en France contre Google ou Twitter.
L'inverse aurait des conséquences assez grave, la loi serait très facile à contourner.
Inscrit le 04/01/2012
299 messages publiés
Oui mais Google et Twitter sont présents physiquement en France, il serait même facile de leur bloquer de l'argent en cas de condamnation, c'est d'autant plus vrai qu'il y a des accords commerciaux avec les US.
Concernant Mega, on peut toujours porter plainte en France mais si le gros ne veux pas y répondre, il fait ce qu'il veut, il n'est pas soumis à la loi française.
Inscrit le 24/12/2011
2271 messages publiés
Google oui, Twitter non.
Et encore une fois Mega.nz est soumis à loi française pour les raisons évoquées ci-dessus. Je t'invite à lire l'arrêt de cassation (c'est indigeste) ; petit extrait :
"la cour d’appel, qui n’a pas dénaturé les conclusions des parties, a fait ressortir, tant l’accessibilité à ces sites pour les internautes français que la disponibilité en France des produits litigieux, et justifié sa décision de retenir la compétence des juridictions françaises".
Il s'agit d'une société allemande qui avait un site dispo en France
Inscrit le 04/01/2012
299 messages publiés
Oui une société allemande, donc européenne, là il s'agit de la NZ, c'est une énorme différence.
Inscrit le 04/01/2012
299 messages publiés
Je me réponds à moi même, dans tout les cas, si tu veux porter plainte contre mega, ce sera avec le droit de la NZ, pas avec le droit français.
Inscrit le 24/01/2012
26 messages publiés
Faux, à partir du moment qu'un français commet un délit ou est victime d'un délit quelque part dans le monde, la loi française peut s'appliquer.
Inscrit le 25/09/2010
103 messages publiés
Dans cette décision, la Cour de cassation ignore totalement le fait que l'Allemagne soit dans l'UE. Donc NZ ou Allemagne, à mon avis, la décision serait la même.
Inscrit le 24/12/2011
2271 messages publiés
Je suis d'accord. Je pense que Zyami n'a pas lu l'arret de toutes façons.
Inscrit le 23/11/2011
167 messages publiés
Après c'est une histoire de convention international et de droit international.

La justice française peut très bien faire un procès et rendre un verdicts si l'entreprise étrangère ou la personne accusée refuse de s'y soumettre, la plainte sera transférée au pays de l'accusé, et si le pays en question refuse de négocier avec la justice française, la justice française ne peut rien faire.

Il y a un tas d'exemples de personnes accusées dans un pays qui échappe aux sanctions car elle reste dans leur pays.
Inscrit le 10/06/2005
6355 messages publiés
ze_katt (Modérateur(rice)) le 22/01/2013 à 10:15
Et du coup, le gouvernement français pourrait bloquer Mega en toute légalité, puisqu'il s'agirait d'une entreprise de multiples fois condamnée.
Inscrit le 04/01/2012
299 messages publiés
Comment veut tu qu'elle bloque Mega ?
Seule la justice de NZ peut le faire, soyez logique un peu.
Inscrit le 24/12/2011
2271 messages publiés
Elle pourrait ordonner le blocage par DNS comme cela a été fait avec Copwatch Nord par exemple.
Inscrit le 28/12/2010
3690 messages publiés
Il peut néanmoins être condamné par un juge français sur la base du droit français. Ensuite, c'est surtout une question d'exequatur, comment faire appliquer la sentence là-bas. Exactement comme dans le cas de Twitter et des hashtags racistes.

Je sais pas pourquoi, mais je vois bien les autorités de la NZ extrêmement coopératives avec tout le monde dès que des condamnations vont tomber à gauche à droite...
Inscrit le 04/01/2012
299 messages publiés
Ca c'est fort possible, à mon avis ça a déjà démarré même, seulement cette fois, il leurs faudra un dossier béton, pas comme la première fois et pas dit que les juges de la NZ veuillent bien repasser pour des cons non plus sans imposer une extrême prudence.
Inscrit le 24/12/2011
2271 messages publiés
Oui je suis d'accord car plusieurs personnalités ont pris cher en NZ, suite au scandale des écoutes illégales notamment.
Inscrit le 03/09/2012
943 messages publiés
+1
J'ai pas de connaissance pointu dans le domaine juridique mais un peu de bon sens me fait plussoir tes dires.
Sinon j'imagine le bordel que ça serait si dès qu'on créait un service sur internet, il fallait prendre en compte toute les lois qui existent dans le monde dont certaines pourraient même se contredire.
Par contre il existe des "règles de commerce international" qui peuvent peut être s'appliquer.

Edit :
Pour faire un parallèle un peu/beaucoup fumeux je l'avoue.
Qui des conducteurs français qui conduisent des véhicules loué à des société luxembourgeoises pour échapper à des contraventions.
[message édité par choukky65 le 21/01/2013 à 18:10 ]
Inscrit le 24/12/2011
2271 messages publiés
Quand on crée un service sur le net, pour le commercialiser dans différents pays, on fait effectivement une analyse juridique de chacun des pays vers lesquels on exporte le service.
Certaines lois peuvent se contredire, on obéit alors à chacune sur chaque territoire, en offrant une version aménagée de son service.
Inscrit le 03/09/2012
943 messages publiés
Ok.
C'est donc pas moi qui me lancerait dans une telle aventure.
Trop bordélique !
Inscrit le 20/09/2011
5137 messages publiés
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:06 ]
Inscrit le 03/01/2012
390 messages publiés
J'ai des doutes sur le fait qu'un mot de passe soit une donnée à caractère personnel au sens de la loi 78-17.
Inscrit le 24/12/2011
2271 messages publiés
Je suis tout à fait d'accord concernant le mot de passe. Mais on demande aussi le nom et l'adresse mail à l'inscription, je crois.
Inscrit le 04/06/2010
2564 messages publiés
comprendre un pseudo et une quelconque adresse mail, ça n'a rien de personnel ...
Inscrit le 19/03/2006
329 messages publiés
C'est la clé de décryptage principale de toutes vos données. Si vous le perdez, vous perdez l'accès à tous vos fichiers que vous n'avez pas dans le dossier partagé et que vous n'avez pas exportés précédemment par clé.


Et pourquoi ne pas chiffrer une clé générée aléatoirement avec le mot de passe : la clé chiffre tout le disque dur, et il est simple de changer de mot de passe (il suffit de ne rechiffrer que la clé ?

Ce n'est pas comme si ce principe était connu et abondamment utilisé...
Inscrit le 24/12/2011
2271 messages publiés
Oui en effet, il n'est d'ailleurs pas trop tard pour le faire. Le premier changement de mot de passe ferait passer l'utilisateur du mode de fonctionnement "mon mdp est ma clé" au mode de fonctionnement "mon mdp est mon chiffreur/déchiffreur de clé"
Inscrit le 28/12/2010
3690 messages publiés
J'avais aucune confiance dans MegaUpload, et je trouvais le modèle super malsain. Quitte à payer pour obtenir des contenus, autant payer l'offre légale, au moins l'artiste récupère une miette.

J'ai encore moins confiance en Mega. Le gros Dotcom n'est que la version funky des requins d'en face. Et comme il s'est déjà fait allumer par les ayant-droits et le FBI, faudra pas s'étonner quand ça va lui retomber dessus, et que des milliers de fichiers légaux vont encore se retrouver bloqués. Ou en vadrouille dans la nature, vu les failles de sécurité.
Inscrit le 04/06/2010
2564 messages publiés
quitte à payer ? où ça ? faudrait uploader plus de 40 films et il suffit de créer un 2ème compte pou monter à 80 ...
perso j'ai 10 compte google drive, quel est le problème ?
Inscrit le 18/09/2012
121 messages publiés
Pour stocker 40 films, autant s'acheter un disque externe, une grosse clé USB ou carte SD.
Inscrit le 27/10/2008
581 messages publiés
"Le compte est au main d'une seule personne"...

Cette faute de français surprend de la part de Guillaume Chapeau, qui est le contraire d'un charlot.
Inscrit le 14/06/2007
571 messages publiés
Ce que j'aime bien c'est la dite FAQ sur la sécurité.

"I have forgotten my password. Can I reset it?"
"Unfortunately, your MEGA password is not just a password - it is the master encryption key to all of your data. If you lose it, you lose access to all of your files that are not in a shared folder and that you have no previously exported file or folder key for."
...
"Okay, time to ask again, I've LOST IT ! face it, it's lost ! Can I f****** reset that sh** ?"
Bon bref, la réponse non apportée reste "non". Pas de reset, il faut considérer le compte définitivement perdu, et impossible de se réinscrire avec le même mail, puisse t'il être votre mail principal. On ne peut même pas demander à récupérer le compte, quitte à ce qu'il soit vidé de ses fichiers impossible à récupérer...
[message édité par Killua le 21/01/2013 à 17:39 ]
Inscrit le 04/06/2010
2564 messages publiés
ben mega pense que faut être completement demeuré pour s'inscrire avec son mail principal... et il a raison.
Inscrit le 11/05/2010
21 messages publiés
J'ai limite l'impression que c'est volontaire, et encore une fois ils se couvrent : "mince j'ai perdu mon mot de passe" et "je ne suis plus en mesure de garantir la légalité des contenus sur mon espace" qui est maintenant accessible à tout le monde, "zut!"
Inscrit le 03/10/2011
5836 messages publiés
Je pensais que tout le monde utilisait le mot de passe 'megaupload', non ?
Inscrit le 12/09/2007
4032 messages publiés
Inscrit le 04/06/2010
2564 messages publiés
avec 1 cambriolage en France toutes les 3mn, la gueule de ton "sécurisé" .... rotfl ...
Inscrit le 26/11/2003
1049 messages publiés
Le troll du jour .
Inscrit le 04/06/2010
2564 messages publiés
le troll de quoi ? avoir son propre serveur chez soi est d'une connerie totale du point de vue de la sécurité... tu as des vigiles, des cameras de surveillance, des alarmes, des extincteurs automatiques chez toi ? ...

non.

Alors c'est même pas la peine de parler sécurité, on commence par la b-a-ba ...

c'est chiant à force de parler à des ado geek déconnectés de tout contexte pro réel ...
Inscrit le 26/11/2003
1049 messages publiés
Troll parce que tu lui répond à côté de la plaque banane!
Il ne nous dit pas de monter un service du genre de mega mais un serveur PRIVE entre amis.
Ouaaaah des vigiles, alarmes, caméra extincteurs pour un petit serveur privé t'es vachement parano toi!
Inscrit le 10/12/2012
26 messages publiés
Bon, alors, les "failles d'implémentation mises en avant par Bluetouff", euhh... Comment dire... Prenons point par point :

Article original : Ceux qui ont essayés de se connecter sur mega.co.nz avant l'ouverture de Mega auront remarqués qu'il y avait une redirection vers kim.com/mega. Apparemment pas lui, puisqu"il fait son nmap dessus. Donc, osef des ports ouverts, du mode debug et du reste. Donc pas de 'faille' là dessus

Update 1 : Ah ben oui... Il fait un dig ! C'est une énoooooorme faille ! Donc, à la benne aussi.

Update 2 : Enfin un nmap sur le(s) vrai(s) serveur(s). Hmmm, le port 80, ça me parait dangereux ! Tout comme le 443 ! Le 22, à la limite, c'est potentiellement dangereux. Et encore ! Donc argument non valide.

Update 3 : Hmm intéressant, un sous domaine static. Encore une fois très dangereux. Ne pas réussir à uploader. C'est une faille aussi tiens. A la limite juste la rançon du succès. Accessoirement il peste contre les mouvements de souris et les keystrokes pour la création de la clé, mais il dit juste après que les logiciels sérieux utilisent cette méthode. Qui a dit "Contradiction" ? Argument invalidé.

Update 4 : Crypto 1024 bits et XSS. Enfin des vraies failles, pour une fois.

Update 5 : Des ports qui auraient bizarrement été ouverts. Ah ben non en fait, ils sont "filtered". Donc encore une fois inutile.

Update 6 : Comme pour l'update 3. Rançon du succès.

Update 7 : Il faudra m'expliquer, parce qu'il n'y a AUCUNE preuve de ce qu'il avance. Après tout, je peux très bien dire que je suis une blonde de 30 ans à forte poitrine, si j'ai rien pour le prouver... Argument non valide, encore une fois !

Update 8 : QUOI ! UNE ERREUR DE CERTIF ! OH MY GOOOOD ! Ah ben en fait non, le certif est renseigné pour mega.co.nz, pas pour l'IP ! Zut de flute alors. Dernier argument invalide.


Donc, sur toutes les "failles" qu'il met en avant, on ne retiendra au final que l'update 4. Bravo l'analyse. Des comme ça, j'en ai vu dans le même genre pas plus tard qu'aujourd'hui. Mais si, des analyses qui arrangent la réalité !
Inscrit le 24/12/2011
2271 messages publiés
+1 La XSS a ete tres vite corrigee d'ailleurs d'apres ce que j'ai lu.
Inscrit le 20/03/2009
1110 messages publiés
hé machin t'es sur d'avoir lu l'article? allez je reprends, comme toi:
update1: il n'a pas parlé de faille, d'où tu sors ça?
update2: il décrit, c'est tout. où vois-tu la moindre critique?
update3: là encore juste de l'info. où vois tu parle de danger? où vois-tu qu'il peste contre le mouvement de souris? il dit juste que la méthode n'a rien de révolutionnaire.
update4: le seul que tu as lu, en fait....
update5: et bin? il décrit, c'est tout.
update6: pareil, il décrit, que veux-tu qu'il dise, qu'il y accède???
update7: non mais franchement tu l'as vu le script avant de dire qu'il n'y a pas de preuve que l’algorithme est pas terrible???? ensuit il dit que mega PEUT très bien ne pas chiffrer coté serveur sans avertir le client, où as-tu besoin de preuve là encore???
update8: quel rapport avec l'ip???? quel que soit l'ip le certificat reste valide, qu'est-ce que tu comprends pas???

ah, en fait tu comprends rien. ok, au temps pour moi...
Inscrit le 24/12/2011
2271 messages publiés
Juste de l'info, juste de l'info... C'est quand même toujours un peu à charge :
"Update 5 : Bon ça commence à être la fête du slip,"
"Update 8 : les bizarreries au niveau du certificat SSL commencent."
Et souvent porteur de sous-entendu là où il n'y a rien à sous-entendre.
Je me souviens d'une phrase qui était présente samedi soir sur le blog et que bluetouff a supprimé, quelque chose du type "ça y est on dirait que les serveurs Mega ont été infiltré"

Et pour l'update 8, ce que veut dire ploufplouf, c'est que sur la capture d'écran on voit un navigateur avec une adresse IP dans la barre d'adresse, et une fenêtre avec un certificat VALIDE pour mega.co.nz. Juste au-dessus est écrit : "Ce qui était valide hier ne l’est plus aujourd’hui :". Fail ?
Inscrit le 10/12/2012
26 messages publiés
Machin ? Mon pseudo n'est pas forcément très recherché, mais un peu de cyberpolitesse ne serait pas désagréable... Mais passons.

Comme le dit juste en dessous thb, c'est pas réellement informatif. L'article de Bluetouff est totalement orienté contre Mega.
Les 3/4 de son article sont inutiles (l'exemple du dig est le plus adapté imho. On voit qu'il y a un A et des NS,comme partout en fait).

Je ne vais pas répondre à tout, mais juste sur les points qui me titillent le plus?

"update3: là encore juste de l'info. où vois tu parle de danger? où vois-tu qu'il peste contre le mouvement de souris? il dit juste que la méthode n'a rien de révolutionnaire."
Je cite bluetouff : "mouais bof". C'est effectivement uniquement informatif ça !

"update7: non mais franchement tu l'as vu le script avant de dire qu'il n'y a pas de preuve que l’algorithme est pas terrible????"
Si tu parles du petit morceau qu'il a mis en capture d'écran, effectivement, ça serait un peu light. Mais en l'occurence, le ficher est un peu plus gros. https://eu.static.me...o.nz/crypto.js. Donc non, je n'ai pas regardé TOUT le ficher.

"ensuit il dit que mega PEUT très bien ne pas chiffrer coté serveur sans avertir le client, où as-tu besoin de preuve là encore???"
Intéret pour DotCom de faire ça ? Aucun ! Si jamais il s'aventure la dedans, il est perdu, parce que justement, toute sa nouvelle plateforme se base sur le fait qu'il ne PUISSE PAS savoir ce qu'il y a comme fichiers, pour rester dans la légalité. Il y a là un peu plus de réflexion (sans me vanter) que son simple "Méga peut très bien désactiver le chiffrement serveur side"

Merci à thb pour l'update 8, je n'ai pas à expliquer.
Inscrit le 24/12/2011
2271 messages publiés
Mega répond à un certain nombre de points, avec pertinence je dois dire :
https://mega.co.nz/#blog_3
Cela part notamment du SSL 1024 bits, et de la désactivation du cryptage.
Inscrit le 05/05/2009
1191 messages publiés
Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud.


Déconseiller à une entreprise d'éviter un service en beta?
Mais t'es un génie, Guillaume!! T'es un PUTAIN DE GÉNIE!!!
[message édité par Trycer le 21/01/2013 à 19:01 ]
Inscrit le 24/03/2009
915 messages publiés
Comme Gmail qui est resté genre deux ans et demi en bêta test, c'est ça ?
Inscrit le 11/08/2010
236 messages publiés
Avant de crier au loup... C'est marqué en assez gros je pense "BETA", les ajouts de fonctionnalités telles que modifier son nom, ou son mot de passe tous les jours n'ont sûrement pas été une priorité pour l'équipe de développement
Ensuite... Je ne suis pas sûr de ce que j'annonce, c'est une simple hypothèse, mais le changement de mot de passe s'il inclut un changement de clé n'aboutit pas à la réencryption de tout les fichiers ?
Inscrit le 20/09/2011
5137 messages publiés
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:08 ]
Inscrit le 04/06/2010
2564 messages publiés
hahaha elle pique les yeux celle là ... excellent ....
Inscrit le 06/04/2011
3796 messages publiés
Bah oui, on s 'en doutait ,non ?
Tout est comme ça, sinon faut passer à la biométrie et puis à ça et puis à ça, etc.......

Faudra avancer en même temps que la technologie mais plus vite que les AD.
Inscrit le 28/12/2010
3690 messages publiés
Bref, je suis sans doute un peu teubé et j'ai pas pris le temps d'explorer de fond en comble tous les articles sur cette merde, mais je vois toujours pas en quoi ces histoires de chiffrement changent quoi que ce soit au problème juridique. Je ne vois toujours pas en quoi cette nouvelle version du bazar le mettrait à l'abri des poursuites et du shut down qu'il a précédemment subi.
Inscrit le 24/12/2011
2271 messages publiés
Et bien en fait, Mega ne voit jamais passer et ne stocke aucun fichier en clair. De plus Mega n'a aucun moyen de décrypter le moindre fichier..
Or, dans l'acte d'accusation de janvier 2012, on peut lire que les chefs d'accusation sont liés à la connaissance que Megaupload avait de l'illégalité des fichiers (et donc à leur mauvaise foi).
Donc en n'ayant nulle connaissance du contenu, et en répondant rapidement à toute demande de takedown, ils sont complètement protégés par le DMCA et autres lois similaires dans d'autres pays.
De plus, il ne sera pas possible de passer du "take down" au "stay down" car les fichiers étant cryptés, si un même fichier est envoyé par deux utilisateurs différents, Mega ne sera pas en mesure de savoir que c'est le même fichier et ne pourra supprimer l'un quand on lui demande de supprimer l'autre.
Inscrit le 21/01/2009
4844 messages publiés
" si un même fichier est envoyé par deux utilisateurs différents, Mega ne sera pas en mesure de savoir que c'est le même fichier et ne pourra supprimer l'un quand on lui demande de supprimer l'autre."

Bien sûr que si, cf https://mega.co.nz/#terms : "8. Our service may automatically delete a piece of data you upload or give someone else access to where it determines that that data is an exact duplicate of original data already on our service. In that case, you will access that original data."
L'application sait que le fichier qu'on upload existe ou pas dans sa base de donnée.
Inscrit le 24/12/2011
2271 messages publiés
Il y a eu de longues discussions à ce sujet sur différents forums depuis quelques jours. Voici les points principaux :
- Le fait qu'ils se donnent le droit de faire quelque chose ne veut pas dire qu'ils le font, ou qu'ils le font déjà
- Lire la clause 8 des ToS ne nous donne aucune information sur la technique potentiellement employée : déduplication au sein d'un même compte ou déduplication entre plusieurs comptes
- Il est techniquement possible qu'ils fassent de la déduplication inter-comptes, mais ce serait extrêmement dangereux pour eux, je pense qu'ils ne le feront pas
- Quand on lit les explications techniques fournies par Mega, on a plutôt l'impressions qu'il n'y a pas de hash non crypté de chaque fichier, mais il n'y a pas de certitude à ce sujet.

Pour l'instant qu'il n'y aura pas de déduplication inter-compte, mais ce sera sans doute éclairci dans les jours qui viennent.
Inscrit le 21/01/2009
4844 messages publiés
Si on se contente de lire le point 8 c'est très clair "or give someone else access to where it determines that that data is an exact duplicate of original data already on our service"
Someone else. Un autre compte quoi. Dit comme cela c'est inter compte.

En gros traduit ça donne : "Notre service peut automatiquement effacer un fichier que vous uploadez ou y permettre l'accès à quelqu'un d'autre si il établi que ces données sont une copie exacte de données originales déjà présentes dans notre service".
Je vois pas en quoi on ne peut pas établir qu'il parle d'inter-compte, c'est vraiment clair Oo
[message édité par tass_ le 22/01/2013 à 12:37 ]
Inscrit le 24/12/2011
2271 messages publiés
Tu as tout à fait raison j'ai mal lu !!
Reste mon argument sur le fait qu'ils se donnent le droit mais que ça peut ne pas servir ; enfin bon ta précision me fait réfléchir quand même...
Inscrit le 24/12/2011
2271 messages publiés
https://mega.co.nz/#blog_3
Bon ben mon impression était plutôt la bonne quand même, Mega confirme qu'il n'y aura pas de déduplication inter-compte sauf dans le cas particulier d'un partage de fichier, puisque la dédup se fera sur la base de la version cryptée du fichier et non de la version claire.
Inscrit le 20/09/2011
5137 messages publiés
Message supprimé par l'auteur
[message édité par zig et puce le 23/01/2013 à 00:07 ]
Inscrit le 24/12/2011
2271 messages publiés
Sauf qu'il n'y a pas le nom des marchandises sur les camions.
L'analogie a ses limites comme toute analogie.
En l'occurrence, je pense que la défense de Mega tient la route.
Inscrit le 21/01/2009
4844 messages publiés
Sauf qu'il y a tout un tas de panneaux d'affichage au centre ville indiquant quelle marchandise volée est dans quel camion.
Inscrit le 24/12/2011
2271 messages publiés
Pour rester dans le réel et pas dans l'analogie, le fait qu'un contenu crypté soit posté sur un forum ou sur un site de DDL, sur une page indiquant clairement ce que c'est et donnant la clé de décryptage, ne pourra pas inquiéter Mega.
On ne peut pas demander à Mega de faire le tour des sites de DDL pour faire le ménage sur son service, ça restera aux ayant-droits de faire des demandes de retrait individuelles.
Inscrit le 21/01/2009
4844 messages publiés
On peut pas leur demander de faire le tour des sites ok, mais on pourra par contre leur répliquer que si ils étaient au courant. (la mauvaise foi au tribunal ça se voit hein )
Inscrit le 28/12/2010
3690 messages publiés
Ouais je comprends, mais ça me semble un déplacement de la question. Si le gros Dotcom ne compte que sur ça pour échapper à de nouvelles poursuites, il est pas sorti des emmerdes.

Même s'il prétend ne pas savoir ce qui est hébergé sur ses serveurs, de facto il va se retrouver à héberger ce que les ayant-droits appellent (et tous les juristes avec) des contrefaçons. On peut parler de "recel" de contrefaçons en droit français, et j'suis pratiquement certain qu'il existe la même chose aux USA. Le simple fait d'héberger des contrefaçons ça le met en cause.

Ensuite comme tu dis, il peut se réfugier derrière un système de "notice and take down", et se retrouver donc logé à la même enseigne que n'importe quel autre hébergeur : pas tenu d'une obligation de surveillance générale et de suppression a priori, mais tenu de virer tout contenu à réception d'une injonction. D'ennemi juré des ayant-droits, Mega deviendrait alors leur exécutant, à l'instar de Youtube, de Google ou de n'importe quel hébergeur classique.

Si en plus il est démontré qu'à un stade ou un autre du processus, Mega sait quel type de fichier est enregistré sur ses serveurs (et c'est clair que les autorités vont chercher), et qu'en outre, la majorité des fichiers est piratée, Mega va rejoindre son grand frère en quatrième vitesse au cimetière des fausses bonnes idées. Le FBI et les ayant-droits ont déjà démontré de quelle radicalité ils pouvaient faire preuve. S'il s'agissait juste d'adopter les lignes de défense que Rapidshare ou autres concurrents ont adopté après l'exécution de MegaUpload, c'était pas la peine de faire tout ce barouf médiatique. Dotcom a vraiment tous les attributs des requins qu'on conchie par ailleurs...
[message édité par U. Harkogansk-Malatesta le 22/01/2013 à 11:54 ]
Inscrit le 24/12/2011
2271 messages publiés
Oui mais tout le système est justement pensé pour qu'il ne sache JAMAIS ce qui passe par ses serveurs.
Autre point intéressant, il ne stockera pas de contrefaçons. Il stockera des fichiers qui deviennent des contrefaçons si on leur applique une certaine clé de décryptage. Sans cette clé ils sont inutilisables. Je pense qu'on verra des débats juridiques sur ce point.
Inscrit le 28/12/2010
3690 messages publiés
Sans aucun doute. La question du "moment" où le fichier est une contrefaçon avérée va cristalliser les débats. Ensuite, la question de savoir si Mega savait ou pas que c'était une contrefaçon, c'est très secondaire. En droit français par exemple, on se fout de savoir si tu savais ou pas que c'était un faux Vuitton que tu as ramené d'Italie. Et c'est la même logique qu('on applique à toute forme de "contrefaçon"

(PS : oui, je sais tout le vice de ce terme qui ne devrait pas être unique pour viser des choses aussi diverses qu'un faux sac Chanel, un plagiat littéraire poussé, un téléchargement sans droit et la citation d'une marque... mais il se trouve qu'on leur colle à tous le même régime juridique, jusqu'à présent).
Inscrit le 24/12/2011
2271 messages publiés
Pour le faux Vuitton tu es sûr ? Je connais très mal le sujet mais on m'avait dit qu'on pouvait retenir contre l'acheteur le fait qu'il ait acheté le sac contrefait à un prix manifestement très bas et à un vendeur manifestement douteux.
Question corollaire, si j'achète un sac Vuitton contrefait au prix réel dans une vrais boutique Vuitton (qui ferait de la contrefaçon pour une raison très étrange), est-ce que je peux être inquiété aussi ? C'est une question sincère et non rhétorique.

Concernant le DMCA et en France le LCEN, le fait que l'on ait connaissance ou non du contenu illégal que l'on héberge, et qu'un tiers a uploadé sur votre service, est centrale et fait toute la différence dans l'obtention ou non du statut protecteur d'hébergeur.
Inscrit le 04/06/2010
2564 messages publiés
ya un gros problème là, sous ubuntu + firefox, mega demande d'installer le dernier flash player pour downloader une simple photo... déja c'est lourd... mais je suis en v11.2 dernière version compatible linux ...

on fait comment ? si mega est incompatible linux + firefox c'est la grosse lose ...
Inscrit le 22/01/2013
1 messages publiés
dommage que je ne puisse pas arrivé a m'inscrire sur MEGA , du coup je reste sur gigatribe
Inscrit le 18/03/2008
763 messages publiés
Je suis le seul qui a compris que ce système donne a méga la capacité d'ignorer la présence de fichiers illégaux?

Si le mot de passe est en fait une clef de cryptage client, ça signifie que méga ne peut PAS savoir ce qui est dans vôtre espace de stockage (j'assume que le client hash le mot de passe pour s'autentifier.

Si l'encryption de données est faite du côté client, celà empèche méga de "rendre service" aux gouvernements/compagnies qui veulent empècher certaines données de filtrer.

Ne pas pouvoir changer de mot de passe est évident, comment vous changez de clef de cryptage si vous n'utilisez pas un système type LUKS ( 1 ou plusieurs clefs encryptent la clef de cryptage qui elle ne change jamais).

et LUKS est hors de question dans ce cas de figure ou l'idée est de mettre le cryptage en dehors de mega lui-même.
Inscrit le 08/01/2013
20 messages publiés
non, mais t'es le seul à prétendre que t'es le seul à avoir compris
Inscrit le 08/01/2013
20 messages publiés
enfin, compris, pour la première ligne, parce qu'après...

le changement du mot de passe arrive sur mega au fait...
Inscrit le 21/04/2009
908 messages publiés
ah bon ??? ou ça ???
Inscrit le 24/12/2011
2271 messages publiés
Source : https://mega.co.nz/#blog_3
"however, this will change in the near future:A password change feature will re-encrypt the master key with your new password and update it on our servers"
Inscrit le 18/02/2009
521 messages publiés
Question idiote : est-ce que justement le fait de ne pas pouvoir changer le mot de passe; n'est pas voulu. VOULU, dans le sens, ou si on réfléchit bien loin; il constitue peut-être justement une défense valable vis à vis de la loi.
Monsieur le juge, mon compte a été piraté; ce n'est pas moi qui upload.
Enfin un truc dans ce gout la.
Pour moi, ce fait est voulu et bien réfléchi et si quelques désagréments; à mon avis, bien utile justement. ;-)
Inscrit le 10/06/2005
6355 messages publiés
ze_katt (Modérateur(rice)) le 22/01/2013 à 11:19
ploufplouf, le 22/01/2013 - 11:14
Machin ? Mon pseudo n'est pas forcément très recherché, mais un peu de cyberpolitesse ne serait pas désagréable... Mais passons.

Machin étant n'importe qui qui peut se servir de ton pc pendant que t'as le dos tourné. Tu veux que je l'appelle comment? Bidule? "LeMecQuiSeSertDuPcSansAutorisation"?
Inscrit le 10/12/2012
26 messages publiés
Je vois pas trop le rapport.
En tout cas, ne t'inquiètes pas trop pour mon pc, il est bien gardé, tu peux donc m'appeler par mon pseudo.
Inscrit le 18/03/2008
763 messages publiés
Cela rend aussi la saisie de données du serveur complètement inutile, tu te retrouve avec des tas de disques durs remplis de purée cryptée dont même les administrateurs n'ont aucune connaissance.

C'est un peu le même principe que ZeroBin, tout le chiffrage est faite côté client:
http://www.sebsauvage.net/paste/
[message édité par dieangel le 22/01/2013 à 12:56 ]
Inscrit le 21/01/2009
4844 messages publiés
Oui enfin je suis pas sûr que cet argument tienne très longtemps alors qu'il y a déjà ça :

http://searchonmega.com/

Et que bientôt des tas de blogs et d'annuaires en tout genre vont faire des releases en pointant vers Mega.

Alors oui techniquement les admins ne savent pas ce qu'il y a dans les serveurs. En pratique c'est pas si vrai
Inscrit le 20/07/2011
803 messages publiés
L'esprit de revanche de ce Kim Dotcom ne présage rien de bon.

à‡a sent le souffre ce mega !
Inscrit le 21/04/2009
908 messages publiés
Inscrit le 13/10/2008
1735 messages publiés
Je pense que la sécurité promise par KimDotcom était plus un effet d'annonce qu'autre chose. Après le "cloud" posera toujours de problèmes de sécurité que cela soit sur Mega ou d'autres services. Je vous conseille d'éviter de stocker vos documents importants, d'une manière générale dès que vous envoyez un fichier sur l'un de service considérez le comme publique. Pour les données confidentielle la solution que je conseille toujours c'est de faire des copies sur une clé USB ou un disque dur externe. Après si on tient à faire des sauvegardes en lignes il est toujours possible de chiffrer les données avec le logiciel TrueCrypt, ou bien encore plus simple créer une archive avec un mot passe avec 7-Zip par exemple.
Inscrit le 04/06/2010
2564 messages publiés
Curistel, le 23/01/2013 - 22:18
Pour stocker 40 films, autant s'acheter un disque externe, une grosse clé USB ou carte SD.

autant payer 100 euro au lieu de zéro, oui logique hein ...
Inscrit le 03/02/2013
1 messages publiés
L'idée du nouveau Mega, c'est de protéger la nouvelle société Méga. Mais les conditions d'utilisations sont claires.
Sur réquisition de justice ou Ayant-Droits, les fichiers litigieux seront supprimés et les comptes fermés si récidives.

Et toutes vos informations personnellles et tous les LOG (journaux de connection et d'activité d'un compte) seront fournis à la justice, si Mega recoit une demande en ce sens.

Alors protégez vous, si vous voulez éviter qu'on remonte jusqu'à vous. VPN payant non français, et surtout ne faisant pas de LOG. Payez avec un compte en ligne, qui n'a pas de lien avec un compte banquaire officiel. Bref restez totalement anonyme. N'utilisez pas un email tracable, mais totalement gratuit et anonyme. Attention aux emails anonymes qui vous demande d'utiliser un email tracable obligatoire pour ouvrir votre compte gratuit. Ne faites pas non plus de redirection vers un email tracable.

Enfin crypter vous même vos fichiers avant de les envoyer. Ainsi votre fichier crypté, sera recrypté (sans connaitre son contenu réel) par Méga. Autrement dit même si la clef Méga de cryptage devient public, une fois décrypté le fichier issu de Méga sera un autre fichier crypté. Et bien sur, la clef initiale de cryptage ce sera à vous de la garder secrete. Ca c'est pour les données confidentielles ou personnelles.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Janvier 2013
 
Lu Ma Me Je Ve Sa Di
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
4 5 6 7 8 9 10