Avec Mega, Kim Dotcom propose aux internautes 50 Go d'espace de stockage "sécurisé" gratuit. Mais attention. Si votre mot de passe est découvert, il sera impossible d'en changer pour éviter les actes malveillants.

Pour promouvoir le lancement du successeur de MegaUpload, Kim Dotcom a largement mis en avant la prétendue sécurité de Mega. Mais malgré les promesses marketing, celle-ci est loin d'être garantie dans les faits. Outre les failles d'implémentation pointées du doigt par Bluetouff, qui pourraient permettre de découvrir la clé RSA de chiffrement des données, Mega est articulé autour d'un principe fondateur qui devrait être considéré lui-même une énorme faille de sécurité.

En effet, les utilisateurs inscrits sur Mega auront peut-être remarqué qu'il leur est impossible de changer de mot de passe. Or il ne s'agit pas d'un simple oubli dû à un lancement précipité, mais bien d'une fonctionnalité voulue et assumée. "Malheureusement, votre mot de passe MEGA n'est pas seulement un mot de passe", reconnaît Mega dans sa FAQ dédiée à la sécurité. "C'est la clé de décryptage principale de toutes vos données. Si vous le perdez, vous perdez l'accès à tous vos fichiers que vous n'avez pas dans le dossier partagé et que vous n'avez pas exportés précédemment par clé."

Lorsque l'utilisateur créé son compte sur Mega, deux champs seulement sont à remplir : adresse e-mail, et mot de passe. Un code javascript est alors chargé de générer la clé de chiffrement de l'utilisateur, à partir du mot de passe, des mouvements de la souris, et de la manière dont les données ont été saisies au clavier. C'est cette clé qui est ensuite utilisée pour chiffrer les données avant qu'elles n'arrivent sur les serveurs de Mega.

Mais comme le dénonce la version anglophone de Zdnet, l'impossibilité de modifier le mot de passe implique la nécessité absolue de ne jamais être victime du moindre piratage. Si votre mot de passe est découvert, les hackers pourront uploaer en votre nom n'importe quel contenu et le partager, rendre publics des fichiers qui étaient privés, supprimer tous les fichiers stockés sur Mega, ou télécharger l'ensemble. Il n'est pas non plus possible de supprimer un compte créé par l'utilisateur, la fonctionnalité n'ayant pas été implémentée par Mega.

Il est donc plus que jamais nécessaire d'utiliser sur Mega un mot de passe unique, et surtout de prier pour ne jamais être victime de phising, d'un keylogger ou de toute autre technique qui permettrait à un hacker malveillant de mettre la main sur le mot de passe.

Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud. Il est en effet impossible de modifier l'adresse e-mail, ce qui implique que le compte est aux mains d'une seule personne. Et quand bien même le compte serait créé avec une adresse générique (du type [email protected]), elle impliquerait de confier le mot de passe à des collaborateurs qui ont l'assurance de toujours garder l'accès aux fichiers même après démission ou licenciement.

La seule sécurité apportée par Mega sur ce point est l'historique de session disponible dans l'onglet "Mon Compte". Il permet de voir les adresses IP à partir desquelles le compte a été utilisé, permettant de détecter un éventuel intrus :


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !