Share
Lancement de Mega, et premières failles de sécurité constatées

Lancement de Mega, et premières failles de sécurité constatées

Vous n’avez pas dû manquer le médiatisé lancement de Mega, la nouvelle plateforme d’échange du fondateur de Megaupload, qui compte bien prendre sa revanche envers les ayants-droit.

Je ne vais pas vous faire un énième test du site, il y a déjà de très bons articles sur le sujet 😉

Je vais plutôt vous parler des quelques failles de sécurité découvertes sur Mega

Première inquiétude chez Zataz, la possibilité d’accéder aux fichiers sources Javascript du site, permettant potentiellement de les modifier pour profiter d’un usage détourné.

Il semble aussi que la transmission du mot de passe ne soit pas encore sécurisée, et qu’il soit possible de l’intercepter en utilisant des analyseurs de paquets, ce qui la fout mal pour un site mettant en avant l’extrême sécurité fournie par son cryptage…

Des failles XSS ont été aussi découvertes, mais corrigées quasiment dans l’heure, ce qui démontre au moins la réactivité des équipes techniques de Mega :

Failles XSSL’autre point d’importance où les utilisateurs du service vont devoir être vigilants se situe au niveau du mot de passe. Il est en effet impossible de changer le mot de passe, ce dernier servant de clé de chiffrage pour toutes vos données.

Ce qui signifie que sa perte rendra inutilisables toutes vos données stockées sur Mega, mais aussi que si un hacker arrive à mettre la main dessus (en piratant la base de données de Mega ou en utilisant des malwares ou spams pour retrouver votre mot de passe), il ne sera pas possible de modifier le mot de passe sans perdre le contenu de votre compte Mega !

En gros, une fois qu’un compte Mega a été piraté, il restera piraté pour toujours, car il n’est pas possible de supprimer son compte ni de changer son mot de passe…

Je ne saurais trop vous conseiller de patienter avant d’utiliser les services de Mega, histoire que les différents problèmes soient définitivement réglés, car là il est un peu trop dangereux de confier ses données à un système ne permettant pas la modification du mot de passe (au prix éventuel d’une perte de données), ni la suppression d’un compte, même si ce dernier a été piraté.

Je vous laisse imaginer le paradis que ça peut devenir pour les hackers pour stocker leurs fichiers malveillants en toute sécurité…

Source

28 Commentaires sur cet article

  1. Je ne suis pas un pro en matière de sécurité informatique, mais le code source du JS est forcément accessible, puisque c’est le navigateur qui l’exécute. Ou alors il existe une technologie que je ne connais pas, qui permette d’utiliser du JS sans qu’il soit lisible …

    Répondre
    • Sebastien

      Si je me trompe pas il est possible de « cryper » le code JavaScript tous en permettant son exécution, j’avais lu ça quelque part mais je trouve plus où !

      Répondre
      • Voir le code JS n’est pas un risque de sécurité. Il est effectivement exécuté coté client, donc on ne peut pas le cacher.

        En informatique, la sécurité se résume par cette phrase: « la porte la mieux fermée et celle que l’on peut laisser ouverte »

        Tous les algos de cryptage qu’on utilise tous les jours (CB, …) sont disponibles librement. Un algo est jugé sûr si on peut dévoiler son code a tous le monde.

        Répondre
      • Ce qu’il faut surtout, c’est TOUJOURS vérifier les données envoyées par le client. Une validation javascript n’est jamais un gage de sécurité.

        Répondre
    • Baronsed

      On peut éventuellement l’obfusquer (il y a des logiciels pour ça). Mais ce n’est pas une garantie de sécurité et ne remplacera pas un code propre (sauf éventuellement de manière temporaire le temps de corriger si on s’aperçoit qu’on a codé comme un cochon) : on ne fait pas de la sécurité sur le long terme avec de l’obscurantisme.

      Répondre
  2. Rappelons à toute fin utile que le personnage qui bénéficie d’une publicité mondiale gratuite est un escroc notoire déjà condamné par la justice pour fraude à la carte bancaire.

    d’où la règle de prudence : ne surtout pas s’inscrire sur ce site, c’est évidemment une arnaque grossière pour piéger les gogos !!!

    Répondre
    • Ann O'nym

      Depuis que wikileaks est devenu trop gênant Assange est devenu un pédophile.
      Kim Dotcom, lui, est devenu un escroc…

      Répondre
    • Toi t’es tellement hors-sujet que t’as toujours pas compris que les vrais escrocs sont les producteur, éditeur, maison de disque, etc… mais continue de vivre dans ton ignorance c’est toujours drôle à lire.

      Répondre
      • LOL

        Au moins les producteurs, éditeurs, maisons de disque, etc… ils reversent une ((toute) petite) partie de l’argent aux artistes. Pour l’instant Kim n’a fait que favoriser le piratage et donc l’échange de ses oeuvres sans qu’un seul centime ne soit reversé à leurs auteurs.

        Donc on peut traiter tous ces gens d’escrocs parce qu’on estime qu’ils gardent la majeur partie des gains pour leurs poches, mais Kim c’est pire, c’est 100% des gains qu’il fait qu’il garde pour lui sans en reverser. Donc le plus gros escroc c’est qui?

        Répondre
    • Baronsed

      Piéger les gogos… ça dépend (je doute que ce soit très différent du megaupload qu’on a connu).

      Par contre, je suis d’accord sur le personnage. C’est un escroc qui veut se faire de l’argent sur le dos des artistes : il n’est pas très différent des majors.

      Il faut préférer les solutions décentralisées ou maîtrisées par l’utilisateur 🙂

      Répondre
      • Si l’on en croit la description de la future MegaBox, il y en aura du partage de bénéfices …

        Répondre
  3. Marty Pettaw

    J’ai créé un compte chez Mega samedi. Je n’ai jamais réussi à uploader quoi que ce soit mais je peux comprendre, vu le ramdam médiatique autour de ce site, j’imagine que les serveurs ont été surchargés.
    Mais plus étrange, depuis hier, je ne sais plus accéder à mon compte ! « Login et/ou mot de passe inconnu » ! Et bien sûr, je suis certain à 100% de mon enregistrement !
    J’ai donc, moi aussi, de sérieux doutes quant au sérieux et à la qualité des services de Mega !

    Répondre
    • Marty Pettaw

      edit : ça y est, j’ai à nouveau accès à mon compte et je parviens à uploader à la vitesse vertigineuse de … 2,7 Ko/sec !
      …. euh … attendez un instant … ah ben non, c’est à nouveau planté (0,0Ko/sec) … et mon deuxième fichier est en pending !

      Répondre
  4. gatsu2097

    Comme Marty Pettaw j’ai du recréer mon compte Mega le premier (créé aussi samedi soir) ne marche plus. Apres confiance ou pas pour moi il est beaucoup trop tôt pour le dire.

    Répondre
  5. Même problème de mot de passe et identifiant
    Invalide alors que je suis sur des infos renseignés.
    J’ai envoyer un mail au support pour la suppression du
    Compte heureusement je n’avais encore rien uploader.

    Répondre
  6. ça fonctionne de nouveau.

    Répondre
  7. Je ne comprends pas pourquoi l’article n’aborde pas le côté « piratage ». Mega est quand même le successeur de Megaupload (même fondateur, même nom, même but « légal » initial). On aurait aimé une analyse du pourquoi du comment Mega n’est pas un site de piratage ou l’est. Et en quoi il changera la donne ou non sur ce côté là. Et aussi parler de Megabox du coup?

    Répondre
  8. « pour les hackers pour stocker leurs fichiers malveillants en toute sécurité… »

    Alors, on fait du « journalisme » maintenant ? J’aime bien tes articles, mais là, NON. Depuis quand les hackers sont malveillants ? Depuis quand il faut spécialement y prêter attention à cause de leurs fichiers malveillants ?

    Répondre
    • Dans le contexte de l’article, je parle des hackers qui piratent de manière malveillantes les comptes Mega pour leur usage. Je ne fais pas d’amalgame 😉

      Répondre
      • Pas besoin d’être hacker pour pirater. Encore moins de manière malveillante. C’est comme utiliser les « jeunes » (qu’on définira comme on voudra) parce qu’on doit bien en trouver parmi les pirates.
        Ou bien c’est comme utiliser « journaliste » à la place de blogueur…

        Répondre
        • Ouais enfin des gars qui détournent le fonctionnement originel d’un système pour leur usage, ça reste des hackers au sens de la définition du mot, qu’ils soient compétents ou non, non ?

          Répondre
          • Je suis entièrement d’accord avec ta présente définition 🙂 Et elle n’implique donc pas d’être malveillant. Le dicton du jour : hackeur vaillant, rien d’impossible.

          • Non non cela n’implique pas qu’ils soient malveillants ! Mais des gars qui vont essayer de chopper le mot de passe d’un compte Mega pour leur usage, ce ne sont pas non plus des enfants de choeur je crois :-p

        • Si au sens éthique un hacker n’a pas toujours quelque chose de malveillant, au sens légal, détourner un système n’est quasiment jamais permis.

          Répondre
          • Rien de plus faux. Il est impossible d’énumérer tous les cas de détournement d’un système. Le principe d’un détournement c’est bien d’être d’abord imprévisible.

            De plus, si un détournement se trouve être illégal/pas pérmis, en quoi serait-ce automatiquement malveillant ? Contourner les lois sur la propriété intellectuelle (brevets logiciels en tête) est normalement illégal, mais est-ce malveillant pour autant ?

            Le moral et le légal sont bien deux choses différentes.

          • Nous sommes donc d’accord, puisqu’en relisant mon message précédent, on comprend :
            – hacker pas toujours méchant (morale)
            – détournement illégal, dans le sens où toute intrusion dans un système est interdite par la loi (et détruire des données n’en est qu’une circonstance aggravante), et en règle général décompiler ou bidouiller les logiciels ne passe pas trop non plus, sauf intérêt supérieur comme la compatibilité des systèmes

          • @Mini, décompiler ou bidouiller les logiciels n’est pas interdit en règle générale. Je ne connais aucun texte de loi qui l’affirme. Par contre, ça l’est sur les logiciels qui l’interdisent explicitement. Cela englobe évidemment la totalité des logiciels propriétaires. Évidemment, les logiciels libres encouragent cette pratique.

            Quand on est dans un environnement majoritairement à base de logiciels libres, décompiler et bidouiller est généralement encouragé.

Laisser un commentaire