Pointé du doigt pour ses faiblesses en matière de sécurité, Mega riposte en lançant un défi aux hackers. Kim Dotcom offrira 10 000 euros à celui ou celle qui parviendra à casser son mécanisme cryptographique.

Bien avant son lancement public le 19 janvier, Mega a beaucoup insisté sur la sécurité de son service. L'entreprise a ainsi mis en avant son mécanisme de chiffrement, dont le processus de génération de clé RSA 2048 bits s'appuie en particulier les mouvements de la souris et les frappes au clavier. Mais depuis, les critiques se sont multipliées sur la prétendue protection offerte aux usagers.

Plusieurs failles d'implémentation ont été repérées dès les premières heures suivant le lancement. Le blogueur et spécialiste informatique Bluetouff s'est ainsi fendu d'un article pointant plusieurs anomalies (faille XSS, ports ouverts, certificat invalide…). En outre, certains choix techniques étonnent : le mot de passe sert de clé de décryptage. Autrement dit, il ne peut pas être changé. S'il est compromis, le compte est perdu.

Sur le chiffrement lui-même, le développeur de Cryptocat Nadim Kobeissi a remis en question le niveau de protection de Mega. "Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise l'algorithme AES exactement comme les anciennes versions de Cryptocat".

En outre, Nadim Kobeissi a souligné la capacité de Mega de désactiver la protection d'un compte utilisateur, sans que celui s'en aperçoive. "En outre, la cryptographie n'utilise pas suffisamment de sources de hasard". Le faible nombre de paramètres entrant en ligne de compte pour générer aléatoirement les clés privées RSA pourrait compromettre le processus de génération des clés.

Toutes ces remarques ont fini par atteindre Kim Dotcom. Le patron de Mega a donc lancé un défi à tous les bidouilleurs et spécialistes. Il offrira 10 000 euros à celui ou celle qui parviendra à casser son cryptage open source. Difficile de dire que Kim Dotcom prend un risque fou en mettant en jeu cette somme ; n'aurait-il pas promis un montant beaucoup plus important s'il était si convaincu de la sûreté de Mega ?

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.