Bien avant son lancement public le 19 janvier, Mega a beaucoup insisté sur la sécurité de son service. L'entreprise a ainsi mis en avant son mécanisme de chiffrement, dont le processus de génération de clé RSA 2048 bits s'appuie en particulier les mouvements de la souris et les frappes au clavier. Mais depuis, les critiques se sont multipliées sur la prétendue protection offerte aux usagers.
Plusieurs failles d'implémentation ont été repérées dès les premières heures suivant le lancement. Le blogueur et spécialiste informatique Bluetouff s'est ainsi fendu d'un article pointant plusieurs anomalies (faille XSS, ports ouverts, certificat invalide…). En outre, certains choix techniques étonnent : le mot de passe sert de clé de décryptage. Autrement dit, il ne peut pas être changé. S'il est compromis, le compte est perdu.
Sur le chiffrement lui-même, le développeur de Cryptocat Nadim Kobeissi a remis en question le niveau de protection de Mega. "Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise l'algorithme AES exactement comme les anciennes versions de Cryptocat".
En outre, Nadim Kobeissi a souligné la capacité de Mega de désactiver la protection d'un compte utilisateur, sans que celui s'en aperçoive. "En outre, la cryptographie n'utilise pas suffisamment de sources de hasard". Le faible nombre de paramètres entrant en ligne de compte pour générer aléatoirement les clés privées RSA pourrait compromettre le processus de génération des clés.
#Mega's open source encryption remains unbroken! We'll offer 10,000 EURO to anyone who can break it. Expect a blog post today.
— Kim Dotcom (@KimDotcom) 1 février 2013
Toutes ces remarques ont fini par atteindre Kim Dotcom. Le patron de Mega a donc lancé un défi à tous les bidouilleurs et spécialistes. Il offrira 10 000 euros à celui ou celle qui parviendra à casser son cryptage open source. Difficile de dire que Kim Dotcom prend un risque fou en mettant en jeu cette somme ; n'aurait-il pas promis un montant beaucoup plus important s'il était si convaincu de la sûreté de Mega ?
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !