Publié par Julien L., le Vendredi 01 Février 2013

Kim Dotcom met au défi de casser la sécurité de Mega

Pointé du doigt pour ses faiblesses en matière de sécurité, Mega riposte en lançant un défi aux hackers. Kim Dotcom offrira 10 000 euros à celui ou celle qui parviendra à casser son mécanisme cryptographique.

Bien avant son lancement public le 19 janvier, Mega a beaucoup insisté sur la sécurité de son service. L'entreprise a ainsi mis en avant son mécanisme de chiffrement, dont le processus de génération de clé RSA 2048 bits s'appuie en particulier les mouvements de la souris et les frappes au clavier. Mais depuis, les critiques se sont multipliées sur la prétendue protection offerte aux usagers.

Plusieurs failles d'implémentation ont été repérées dès les premières heures suivant le lancement. Le blogueur et spécialiste informatique Bluetouff s'est ainsi fendu d'un article pointant plusieurs anomalies (faille XSS, ports ouverts, certificat invalide...). En outre, certains choix techniques étonnent : le mot de passe sert de clé de décryptage. Autrement dit, il ne peut pas être changé. S'il est compromis, le compte est perdu.

Sur le chiffrement lui-même, le développeur de Cryptocat Nadim Kobeissi a remis en question le niveau de protection de Mega. "Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise l'algorithme AES exactement comme les anciennes versions de Cryptocat".

En outre, Nadim Kobeissi a souligné la capacité de Mega de désactiver la protection d'un compte utilisateur, sans que celui s'en aperçoive. "En outre, la cryptographie n'utilise pas suffisamment de sources de hasard". Le faible nombre de paramètres entrant en ligne de compte pour générer aléatoirement les clés privées RSA pourrait compromettre le processus de génération des clés.

Toutes ces remarques ont fini par atteindre Kim Dotcom. Le patron de Mega a donc lancé un défi à tous les bidouilleurs et spécialistes. Il offrira 10 000 euros à celui ou celle qui parviendra à casser son cryptage open source. Difficile de dire que Kim Dotcom prend un risque fou en mettant en jeu cette somme ; n'aurait-il pas promis un montant beaucoup plus important s'il était si convaincu de la sûreté de Mega ?

Publié par Julien L., le 1 Février 2013 à 10h21
 
9
Commentaires à propos de «Kim Dotcom met au défi de casser la sécurité de Mega»
Inscrit le 21/11/2011
565 messages publiés
Non, il ne prends pas vraiment de risque. La sécurité coute cher, TRES cher. Donc là, c'est comment débugger son site et y renforcer drastiquement la sécurité en la patchant à moindre frais... S'il y a quelque chose à lui reconnaître, c'est qu'il est, malgré les apparences, loin d'être con...
Inscrit le 09/04/2009
203 messages publiés
C'est pas comme si l'idée venait de lui.
Inscrit le 01/02/2013
1 messages publiés
on peut allez aussi sur mega
Inscrit le 11/09/2012
425 messages publiés
10k€ ? Not enought.
Inscrit le 06/04/2011
3771 messages publiés
Si tout le monde se barre ( vu les dernières nouvelles, ça grogne ) il n ' y aura rien à déchiffrer.
Car si les fichiers restants sont légaux; pourquoi les chiffrer avec une telle clé ?
Inscrit le 30/03/2010
938 messages publiés
Pour pas que n'importe qui puisse les lire ? Des données confidentielles ca existe...
Inscrit le 06/04/2011
3771 messages publiés
croustibat, le 01/02/2013 - 15:08
Pour pas que n'importe qui puisse les lire ? Des données confidentielles ca existe...

oui, tout à fait d ' accord, mais tu comprends mon propos.
Inscrit le 21/04/2009
875 messages publiés
Il se fout réellement du peuple groscom, si un hacker arrive à faire voler son système, je pense que la revendre à n'importe qui d'autre pourrait etre plus benefique.
N'est pas encore Google le Kim !

Ceci dit, il m'a bien decu et me fait chialer de rire avec son beret !! Il n'est plus crédible de quelque manière que ce soit.
Inscrit le 06/04/2011
3771 messages publiés
Pour 10 000 €, personne ne va s' emmerder à essayer de casser sa clé et il dira : vous voyez, personne n ' a réussi.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Février 2013
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 1 2 3
4 5 6 7 8 9 10