Kim Dotcom met au défi de casser la sécurité de Mega

Bien avant son lancement public le 19 janvier, Mega a beaucoup insisté sur la sécurité de son service. L'entreprise a ainsi mis en avant son mécanisme de chiffrement, dont le processus de génération de clé RSA 2048 bits s'appuie en particulier les mouvements de la souris et les frappes au clavier. Mais depuis, les critiques se sont multipliées sur la prétendue protection offerte aux usagers.

Plusieurs failles d'implémentation ont été repérées dès les premières heures suivant le lancement. Le blogueur et spécialiste informatique Bluetouff s'est ainsi fendu d'un article pointant plusieurs anomalies (faille XSS, ports ouverts, certificat invalide...). En outre, certains choix techniques étonnent : le mot de passe sert de clé de décryptage. Autrement dit, il ne peut pas être changé. S'il est compromis, le compte est perdu.

Sur le chiffrement lui-même, le développeur de Cryptocat Nadim Kobeissi a remis en question le niveau de protection de Mega. "Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise l'algorithme AES exactement comme les anciennes versions de Cryptocat".

En outre, Nadim Kobeissi a souligné la capacité de Mega de désactiver la protection d'un compte utilisateur, sans que celui s'en aperçoive. "En outre, la cryptographie n'utilise pas suffisamment de sources de hasard". Le faible nombre de paramètres entrant en ligne de compte pour générer aléatoirement les clés privées RSA pourrait compromettre le processus de génération des clés.

#Mega's open source encryption remains unbroken! We'll offer 10,000 EURO to anyone who can break it. Expect a blog post today.

— Kim Dotcom (@KimDotcom) 1 février 2013

Toutes ces remarques ont fini par atteindre Kim Dotcom. Le patron de Mega a donc lancé un défi à tous les bidouilleurs et spécialistes. Il offrira 10 000 euros à celui ou celle qui parviendra à casser son cryptage open source. Difficile de dire que Kim Dotcom prend un risque fou en mettant en jeu cette somme ; n'aurait-il pas promis un montant beaucoup plus important s'il était si convaincu de la sûreté de Mega ?