Sécurité IT : Mega balaie les critiques sur le manque de fiabilité

Le véritable niveau de sécurité de Mega est contesté au nom de la garantie de la confidentialité.

La plateforme de stockage de fichiers dans le cloud a été inaugurée ce week-end.

Et l’équipe de Kim Dotcom assure que la confidentialité est renforcée à travers un système de chiffrement basé sur le navigateur (Google Chrome de préférence).

Dans une partie FAQ dédiée à la sécurité, Mega revient sur divers éléments mis en place sur le volet de la sécurité :

– chiffrement assuré « de bout en bout » pour l’upload des données. Les ordinateurs clients prennent en charge le volet clés de chiffrement : processus de génération, échange et gestion. « Ne pas laisser les clés de chiffrements sur les ordinateurs clients (à l’exception des clés publiques RSA) », est-il précisé;

– Pour effectuer les transferts en masse, les algorithmes de chiffrement exploités en interne reposent sur AES-128 (clé de 128 bits). Sachant que l’intégrité des données après uploading est assurée par une variante en mode CCM (Counter with Cipher Block Chaining – Message Authentification Code). Qui serait moins efficace que le mode OCB (Offset Code Book) « mais pas encombré par des brevets »;

– Pour établir la discrétion des partages des fichiers (utilisateur – boîte de réception),  Mega a adopté RSA-2048 (un consensus entre « trop dangereux » et « trop lent »);

– Tous les chiffrements, les déchiffrements, et la génération de clés est assurée en JavaScript (ce qui limite le débit nécessaire à quelques Mbit/s mais sollicite une charge importante du CPU.

– Recours au surf sécurisé HTTPS via le navigateur (redondant selon Mega mais il est possible de désactiver ce mode sauf avec Internet Explorer).

Au regard des critiques portant sur la fiabilité d’un tel dispositif, Mega a répondu à travers une nouvelle contribution blog en date du 22 janvier.

Tout d’abord, Mega confirme que les clés exploitées pour chiffrer les fichiers et les dossiers sont stockées sur les serveurs Mega plutôt que sur les ordinateurs en local.

« L’utilisateur doit juste se souvenir de son mot de passe. » Néanmoins, il vaut mieux ne pas l’oublier car il n’existe pas de système de récupération ou de renouvellement de mots de passe.

« C’est vrai en l’état actuel mais cela devrait changer à court terme », assure l’équipe de Mega.

« Un système pour changer son mot de passe permettra de chiffrer à nouveau la clé-maître avec le nouveau mot de passe qui sera réactualisé sur nos serveurs. »

Sur le volet de la déduplication, Mega reconnaît qu’il y a recours. Mais là aussi, il affiche une certaine sérénité sur le volet sécurité. Le process s’appuie sur le fichier intégral après son chiffrement et non sur des blocs avant le chiffrement.

L’équipe de Kim Dotcom n’écarte pas les risques liés à la couche SSL. « Si vous savez casser SSL, vous pouvez casser Mega. » Difficile de nier l’évidence. »Oui, c’est vrai. Mais si vous savez casser SSL, vous pouvez casser pleins de choses qui sont plus intéressantes que Mega. »

Autre critique : Matthew Green, professeur en cryptographie de l’Université Johns Hopkins, considère que le système de vérification du JavaScript n’a aucun sens. « Vous avez besoin d’un outil fiable pour vérifier le JavaScript sur les machines des utilisateurs et Mega n’en dispose pas. » Mais ses éléments sont rejetés en bloc par l’équipe de sécurité du service cloud au cœur de la polémique.

Cela ne déstabilise pas Kim Dotcom, qui s’engage à mettre sur place prochainement un challenge spécial chiffrement doté d’un prix. Hackers de tous bords, attendez le signal.

Quiz : Le cloud computing, ça vous parle ?