Profitez de Clubic à 100%

Rejoignez la communauté de passionnés des sujets numériques et scientifiques

  • Participez aux discussions
  • Recevez des notifications
  •  
Vous avez déjà un compte ? Connectez-vous
Connexion

Le chiffrement du Cloud MEGA mis à mal par des chercheurs

Alexandre Schmid
22 juin 2022 à 21h30
13
chiffrement © Shutterstock
© Shutterstock

Un certain type d'attaque permet de briser le chiffrement du service cloud MEGA. Les pirates peuvent ainsi accéder aux fichiers en clair et en télécharger de nouveaux dans l'espace personnel de l'utilisateur.

La plateforme de stockage dans le Cloud MEGA assure être incapable de déchiffrer les fichiers que nous enregistrons sur le service. Une étude de chercheurs de l'École polytechnique fédérale de Zurich affirme le contraire.

Le chiffrement de MEGA n'est pas incassable

MEGA utilise sa fonctionnalité de chiffrement de bout-en-bout comme l'un de ses principaux arguments marketing pour se démarquer de la concurrence. Mais celle-ci n'apparaît pas infaillible. « Nous montrons que le système de MEGA ne protège pas ses utilisateurs contre un serveur malveillant et présentons cinq attaques distinctes qui, ensemble, permettent de compromettre totalement la confidentialité des fichiers des utilisateurs », dénonce le rapport.

Les experts pointent également du doigt la possibilité que l'intégrité des données puisse être endommagée, « dans la mesure où un attaquant peut insérer des fichiers malveillants de son choix qui passent tous les contrôles d'authenticité du client ». Ils expliquent avoir mis au point des versions de preuve de concept de toutes les attaques pour démontrer leur exploitabilité et qu'il ne s'agit pas que de théorie.

Les chercheurs ont envoyé les résultats de leurs travaux à MEGA en mars, qui a réagi en déployant une mise à jour qui complexifie la réalisation de ces attaques. Mais ce patch est loin d'être suffisant, selon ceux qui l'ont révélé. Il ne corrige qu'un cas de figure et laisse encore plusieurs vulnérabilités accessibles.

Des failles de sécurité sous-jacentes

Le principal problème provient d'une faille de sécurité qui permet à MEGA ou à une entité ayant piraté MEGA de récupérer l'intégralité de la clé privée RSA d'un utilisateur en un nombre restreint de tentatives de connexion : 512.

Une fois la clé RSA subtilisée, l'attaquant a les mains libres pour procéder à d'autres types d'attaque. L'une d'entre elles permet de déchiffrer toutes les communications et tous les fichiers d'un compte, qui sont donc disponibles en clair pour les pirates.

Une autre possibilité est de télécharger dans l'espace cloud de l'utilisateur des fichiers arbitraires qui ne peuvent être distingués des vrais et qui contiennent potentiellement des logiciels malveillants. Enfin, une variante d'attaque de type Bleichenbacher peut être menée pour passer outre le chiffrement RSA.

MEGA se défend en indiquant que les attaques décrites sont très dures à réaliser. La première faille, qui mène à toutes les autres vulnérabilités, nécessite des conditions bien précises pour être mise en pratique. Mais il n'est pas impossible de l'exploiter.

Sur le même sujet :
Oui, les pirates peuvent aussi hacker les comptes que vous n'avez pas encore créés

Source : The Hacker News

Vous utilisez Google Actualités ? Suivez Clubic pour ne rien rater de l'actu tech ! google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Le chiffrement du Cloud MEGA mis à mal par des chercheurs Le chiffrement du Cloud MEGA mis à mal par des chercheurs 13 commentaires
23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé 23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé 4 commentaires
La faille 0-day Follina affectant Windows reste encore non patchée La faille 0-day Follina affectant Windows reste encore non patchée 9 commentaires
Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros 5 commentaires
Cyberattaque en Ukraine : les malwares HermeticWiper et Cyclops Blink visent les PC et leurs données Cyberattaque en Ukraine : les malwares HermeticWiper et Cyclops Blink visent les PC et leurs données 12 commentaires
Les 5 types de vulnérabilités les plus courantes selon Trend Micro Les 5 types de vulnérabilités les plus courantes selon Trend Micro 0 commentaires
Oui, les pirates peuvent aussi hacker les comptes que vous n'avez pas encore créés Oui, les pirates peuvent aussi hacker les comptes que vous n'avez pas encore créés 0 commentaires
Top 5 des applications à posséder absolument sur son smartphone Top 5 des applications à posséder absolument sur son smartphone 11 commentaires
Une faille 0-day ? C'est quoi au juste ? Une faille 0-day ? C'est quoi au juste ? 5 commentaires
Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité « non patchable » Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité « non patchable » 19 commentaires
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

SPH
Amusant ou effrayant. L’un ou l’autre…
Popoulo
« Une fois la clé RSA subtilisée » + « des conditions bien précises pour être mise en pratique » : ça fait quand même beaucoup.
bennukem
Conditions qui peuvent être réunies par l’état hébergeant la société <br /> Etat qui est copain avec qui ?
Popoulo
@bennukem : Suivant « l’Etat » ou les accords avec le pays d’un quelconque requérant, c’est du full access direct. Même pas besoin de hack quoi que ce soit .
ChoucrouteGarnie
A ce compte-là, qui propose le meilleur compromis espace de stockage / sécurité ? J’ai un espace sur Mega, après être resté de nombreuses années sur Dropbox, et comme tout le monde et son cousin, j’ai aussi un espace sur Gmail / Google Drive / Google One / Whatever et sur mes comptes Microsoft, mais je ne les utilise jamais.<br /> Je ne mets rien sur mes espaces dans le cloud à part quelques CV et des photos (rien de compromettant…), plus un peu de musique à laquelle je veux accéder de n’importe où sans avoir à la stocker sur mon téléphone.<br /> C’est plutôt pour les entreprises que le problème se pose, je trouve. L’idée de créer un « cloud souverain » a été annoncée par notre Leader Maximo il y a quelques temps, mais autant émettre cette idée est chose aisée, autant passer à la réalisation est plus complexe…<br /> A partir du moment où l’on confie ses données à un tiers, quel qu’il soit, on prend un risque, de toute façon.
clockover
@ChoucrouteGarnie<br /> A partir du moment où l’on confie ses données à un tiers, quel qu’il soit, on prend un risque, de toute façon.<br /> A partir du moment où l’on confie ses données à un tiers, on accepte d’en perdre la maitrise. Tout simplement
Oli1
@ChoucrouteGarnie<br /> @clockover<br /> Rien de tout cela ! Il suffit de passer par le logiciel Arqbackup (ou équivalent, je n’ai rien à vendre), qui permet de chiffrer et d’envoyer les données sur n’importe quel cloud (Google Archive, Idrive e2, Filebase, etc.) de son choix. Les données sont sécurisées avant de quitter le PC.<br /> Je l’utilise depuis des années avec des chiffrements forts et ainsi, pas de souci, même si les données sont interceptées ou le compte piraté, elles restent inutilisables.<br /> Cerise sur le gâteau, les données peuvent être rendues immutables, permettant ainsi de garder de vraies archives incorruptibles.
max_971
Et quand on envoie un fichier crypté, le pirate arrive t il à décrypter ce fichier crypté ?
Oli1
@Max<br /> En principe non, si l’on choisit un mot de passe fort tel que<br /> lihgg(/&amp;=&amp;uhésoijhdZZZINAsaàce52eq78rveKHZGFw78revéli6387c3687,<br /> au hasard.<br /> Il faudrait probablement un ordinateur quantique pour craquer un tel chiffrement… pour quel résultat ?
clockover
La difficultés de déchiffrement n’est pas vraiment le soucis pour les grands groupes de Cloud :).<br /> Les données sont toujours mutables ^^.<br /> Bref oui cela complexifie les choses mais vous acceptez tout de même d’en perdre la maitrise.
Oli1
@clockover<br /> Je ne vois pas concrètement ce que vous voulez dire. Combien de supercalculateurs faudrait-il pour déchiffrer les données de n’importe qui sur le cloud, avec des mots de passe bien forts (celui que j’ai donné en exemple demanderait des milliers d’années, certes peut-être quelques années avec des supercalculateurs) ? Quel intérêt réel ? J’ose espérer que les supercalculateurs sont réservés à de meilleures applications (astronomie, sciences, etc.).<br /> Les données sont immutables en cas d’attaque. Si le compte est compromis par un attaquant, il ne peut pas fermer ce compte tant que le délai imparti à l’avance n’est pas respecté : par exmple, si voius décidez que vos données doivent être immutables durant 1 an, vous ne pourrez pas les effacer avant.<br /> J’ai testé l’immutabilité de Google Archive en tentant d’effacer des fichiers immutables, au hasard : cela ne marche pas. La solution semble assez solide. En tout cas certainement plus que sur les clouds traditionneles tels que Mega, Dropbox, etc., dont on ne sait jamais comment est géré le chiffrement, si il y en a…<br /> Avec Arqbackup (ou similaire), le fait de dissocier le logiciel de chiffrement et le stockage rendent la solution plus sûre.
clockover
Le mot de passe n’est qu’un facteur.<br /> Si l’application ou le chiffrement sont mal conçus, la longueur du mot de passe n’importe plus. Ca c’est déjà vu.<br /> Concernant le « supercalculateur », Google, Amazon et co ont des milliers de serveurs et ils ne les laissent pas se tourner les pouces quand la charge est basse.<br /> Il y aussi la variable temps.<br /> Une protection d’aujourd’hui est désuète demain. Vous pensez vraiment que quand vous effacez qq chose, ce quelque chose disparait réellement de ces plateformes ?<br /> Perso, j’ai plus que des doutes vu à quelle point ces boites sont des vampires à données.<br /> Elles préfèrent stocker un max quitte pour rien car elles savent qu’à l’avenir elles trouveront peut-être un usage à celles-ci.<br /> Je ne dis pas que votre solution est nulle.<br /> Je dis juste qu’elle comporte un risque et que vous acceptez de perdre la maitrise de vos données. Risque mesuré certes.
Oli1
@clockover<br /> Sur le fait que rien n’est 100% sûr, je suis entièrement d’accord.<br /> Pour le reste, le stockage a un coût malgré tout, même pour une société de la taille des GAFAM. Si il fallait réellement stocker les To de données de chaque utilisateur, même ceux qui ont « effacé » leurs données, le coût serait démesuré, et cela en vaudrait-il la chandelle ?<br /> Pour aller plus loin dans le chiffrement, on peut aussi zipper des données protégées par mot de passe, puis les envoyer chiffrées avec un autre logiciel sur le cloud, tout en ayant pris soin de chiffrer le bucket de stockage. Cela commence à être sérieux…<br /> Cependant, je ne vais pas jusque-là avec mes données, qui, je crois, ne seraient d’aucun intérêt pour un Etat. La lecture de mes emails leur donnerait bien plus d’informations pour un effort bien moindre, voire quasi nul puisque je me doute bien que les messageries sont trouées de backdoors.<br /> Après, on revient toujours à la bonne vieille guéguerre entre le backup local et sur le cloud ; le backup local n’est de loin pas une solution pérenne et inattaquable (je ne reviendrai pas sur les arguments, tout le monde ici les connaît).
clockover
Ce n’est pas une gueguerre, il y a des avantages, inconvénients dans les deux cas.
Voir tous les messages sur le forum

Dernières actualités

Ces 3 nouvelles fonctionnalités d'Android qui vont vous changer la vie
Ces 3 nouvelles fonctionnalités d'Android qui vont vous changer la vie
Crucial explose les limites du disque SSD avec son modèle T700 : soyez les premiers à en profiter !
Crucial explose les limites du disque SSD avec son modèle T700 : soyez les premiers à en profiter !
Qu'est-ce que DossierFacile, ce service gratuit qui veut vous aider dans vos démarches immobilières ?
Qu'est-ce que DossierFacile, ce service gratuit qui veut vous aider dans vos démarches immobilières ?
Samsung va corriger le problème de flou des Galaxy S23
Samsung va corriger le problème de flou des Galaxy S23
Comment regarder Roland-Garros depuis l'étranger ?
Comment regarder Roland-Garros depuis l'étranger ?
Diminuez votre facture cybersécurité avec cet antivirus pas cher pour votre Mac
Diminuez votre facture cybersécurité avec cet antivirus pas cher pour votre Mac
Comment Overwatch 2, par le jeu, parvient à faire avancer le mouvement LGBTQ+
Comment Overwatch 2, par le jeu, parvient à faire avancer le mouvement LGBTQ+
Les écouteurs sans fil Samsung Galaxy Buds2 vous reviennent à moins de 70€ !
Les écouteurs sans fil Samsung Galaxy Buds2 vous reviennent à moins de 70€ !
Le Samsung Galaxy A54 voit son prix chuter grâce à ceci !
Le Samsung Galaxy A54 voit son prix chuter grâce à ceci !
Énorme plainte collective contre Renault : le scandale des moteurs défectueux rattrape le constructeur
Énorme plainte collective contre Renault : le scandale des moteurs défectueux rattrape le constructeur
Rejoignez-nous !
Infos légales À Propos Publicité CGU Confidentialité Recrutement Archives Marques Contact Règlement Communauté © Clubic SAS 2023