Pour promouvoir le lancement du successeur de MegaUpload, Kim Dotcom a largement mis en avant la prétendue sécurité de Mega. Mais malgré les promesses marketing, celle-ci est loin d'être garantie dans les faits. Outre les failles d'implémentation pointées du doigt par Bluetouff, qui pourraient permettre de découvrir la clé RSA de chiffrement des données, Mega est articulé autour d'un principe fondateur qui devrait être considéré lui-même une énorme faille de sécurité.
En effet, les utilisateurs inscrits sur Mega auront peut-être remarqué qu'il leur est impossible de changer de mot de passe. Or il ne s'agit pas d'un simple oubli dû à un lancement précipité, mais bien d'une fonctionnalité voulue et assumée. "Malheureusement, votre mot de passe MEGA n'est pas seulement un mot de passe", reconnaît Mega dans sa FAQ dédiée à la sécurité. "C'est la clé de décryptage principale de toutes vos données. Si vous le perdez, vous perdez l'accès à tous vos fichiers que vous n'avez pas dans le dossier partagé et que vous n'avez pas exportés précédemment par clé."
Lorsque l'utilisateur créé son compte sur Mega, deux champs seulement sont à remplir : adresse e-mail, et mot de passe. Un code javascript est alors chargé de générer la clé de chiffrement de l'utilisateur, à partir du mot de passe, des mouvements de la souris, et de la manière dont les données ont été saisies au clavier. C'est cette clé qui est ensuite utilisée pour chiffrer les données avant qu'elles n'arrivent sur les serveurs de Mega.
Mais comme le dénonce la version anglophone de Zdnet, l'impossibilité de modifier le mot de passe implique la nécessité absolue de ne jamais être victime du moindre piratage. Si votre mot de passe est découvert, les hackers pourront uploaer en votre nom n'importe quel contenu et le partager, rendre publics des fichiers qui étaient privés, supprimer tous les fichiers stockés sur Mega, ou télécharger l'ensemble. Il n'est pas non plus possible de supprimer un compte créé par l'utilisateur, la fonctionnalité n'ayant pas été implémentée par Mega.
Il est donc plus que jamais nécessaire d'utiliser sur Mega un mot de passe unique, et surtout de prier pour ne jamais être victime de phising, d'un keylogger ou de toute autre technique qui permettrait à un hacker malveillant de mettre la main sur le mot de passe.
Enfin, les entreprises doivent s'interdire toute utilisation de Mega pour leur stockage en cloud. Il est en effet impossible de modifier l'adresse e-mail, ce qui implique que le compte est aux mains d'une seule personne. Et quand bien même le compte serait créé avec une adresse générique (du type [email protected]), elle impliquerait de confier le mot de passe à des collaborateurs qui ont l'assurance de toujours garder l'accès aux fichiers même après démission ou licenciement.
La seule sécurité apportée par Mega sur ce point est l'historique de session disponible dans l'onglet "Mon Compte". Il permet de voir les adresses IP à partir desquelles le compte a été utilisé, permettant de détecter un éventuel intrus :
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !