Mega : les éditeurs s'interrogent sur le chiffrement

21 janvier 2013 à 16h43
0
Les méthodes de chiffrement du service de stockage Mega suscitent le débat. Le nouvel outil dévoilé par Kim Dotcom propose en effet de générer une clé en utilisant les frappes au clavier ou les mouvements de la souris. Une méthode déjà bien connue et qui devra être mise à l'épreuve dans les jours prochains.

La plateforme de stockage Mega repose sur un système de chiffrement dit asymétrique dans lequel deux clés sont générées. L'une est privée, l'autre publique peut ensuite être partagée avec d'autres utilisateurs. Ces clés utilisant de l'AES-256 sont alors générées en fonction des informations que l'utilisateur entre mais prend également en compte une part d'aléatoire en s'appuyant notamment sur des mouvements de souris ou les frappes de clavier.

01C2000005664936-photo-mega-cr-ation-de-la-cl-user.jpg

Un tel système n'est pas nouveau et a d'ailleurs déjà été utilisé pour des services comme Cryptocat, afin de chiffrer du côté du client des conversations en chat. Si le chiffrement en lui-même est robuste, des questions peuvent tout de même se poser quant à la génération de cette clé.

Thibault Koechlin, responsable du pôle conseil de NBS Systems nous explique : « Le système proposé par Mega ne donne pas l'assurance de la qualité. S'agissant de la génération de la clé de chiffrement, il y a effectivement des questions à se poser. Si la création de ces clés est prévisible, cela pourrait entraîner une mise à mal du système. D'autant que d'autres services comme Wuala proposent de chiffrer localement des données sur le poste utilisateur. Mega va donc traverser une phase de maturation qui peut durer quelques semaines ou mois mais nous allons très bientôt voir apparaître des résultats qu'ils soient positifs ou négatifs ».

Mega devrait donc répondre aux critiques dans les prochains jours en corrigeant certains points de son service. Sur son blog, Bluetouff précise que des failles ont été déjà trouvées et parfois même corrigées par les développeurs de Mega.

Plus globalement, les éditeurs de sécurité interrogés par nos soins estiment que la nouvelle plateforme sert « à protéger juridiquement le site (notoirement contre les actions des puissants lobbies hollywoodiens), absolument pas les utilisateurs ». Guillaume Lovet, Responsable de l'équipe EMEA chez Fortinet rappelle « qu'en informatique, on ne peut pas générer une clef complètement aléatoirement - on essaye de s'en approcher le plus possible par diverses techniques. Vu l'exposition médiatique de Mega, on saura assez vite si leur méthode de génération des clefs est suffisamment aléatoire ».

De son côté, gs2i invite les éventuels professionnels intéressés par le service à regarder de plus près ses conditions d'utilisation. Thierry Goigoux, experte en sécurité précise que « Mega stocke toutes les données des utilisateurs, dont le login et le mot de passe servant à chiffrer et décrypter les données. En cas de souci, ils transmettront les données privées aux services concernés. Partager des informations non sensibles pour un particulier ne représente aucun risque, cependant, en tant qu'entreprise, mieux vaut garder les données chez soi ou chez un fournisseur n'ayant pas ce type de condition de vente ».
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Apple préparerait un iPhone de 4,8 pouces pour 2013
Asus MeMO Pad : tablette Android et VIA à 150 dollars
Copie privée : les industriels critiquent les méthodes de calcul et attaquent à nouveau
Huawei finit 2012 dans le vert sur les équipements télécoms
Nexus Q : définitivement abandonné par Google, pris en charge par Cyanogen
Téléchargement illégal : pourquoi les musiciens sont plus tolérants que les labels
Les MVNO mis à l'écart sur les forfaits low-cost et la 4G ?
123people lance des outils de gestion de l'e-reputation
Téléchargement : Hadopi constate une
Atari : les filiales américaines déposent le bilan
Haut de page