Pointé du doigt pour ses faiblesses en matière de sécurité, Mega riposte en lançant un défi aux hackers. Kim Dotcom offrira 10 000 euros à celui ou celle qui parviendra à casser son mécanisme cryptographique.

Bien avant son lancement public le 19 janvier, Mega a beaucoup insisté sur la sécurité de son service. L'entreprise a ainsi mis en avant son mécanisme de chiffrement, dont le processus de génération de clé RSA 2048 bits s'appuie en particulier les mouvements de la souris et les frappes au clavier. Mais depuis, les critiques se sont multipliées sur la prétendue protection offerte aux usagers.

Plusieurs failles d'implémentation ont été repérées dès les premières heures suivant le lancement. Le blogueur et spécialiste informatique Bluetouff s'est ainsi fendu d'un article pointant plusieurs anomalies (faille XSS, ports ouverts, certificat invalide…). En outre, certains choix techniques étonnent : le mot de passe sert de clé de décryptage. Autrement dit, il ne peut pas être changé. S'il est compromis, le compte est perdu.

Sur le chiffrement lui-même, le développeur de Cryptocat Nadim Kobeissi a remis en question le niveau de protection de Mega. "Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise l'algorithme AES exactement comme les anciennes versions de Cryptocat".

En outre, Nadim Kobeissi a souligné la capacité de Mega de désactiver la protection d'un compte utilisateur, sans que celui s'en aperçoive. "En outre, la cryptographie n'utilise pas suffisamment de sources de hasard". Le faible nombre de paramètres entrant en ligne de compte pour générer aléatoirement les clés privées RSA pourrait compromettre le processus de génération des clés.

Toutes ces remarques ont fini par atteindre Kim Dotcom. Le patron de Mega a donc lancé un défi à tous les bidouilleurs et spécialistes. Il offrira 10 000 euros à celui ou celle qui parviendra à casser son cryptage open source. Difficile de dire que Kim Dotcom prend un risque fou en mettant en jeu cette somme ; n'aurait-il pas promis un montant beaucoup plus important s'il était si convaincu de la sûreté de Mega ?

Partager sur les réseaux sociaux

Articles liés