Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top


MegaPWN – Récupérer la master key d’un compte MEGA

MegaPWN – Récupérer la master key d’un compte MEGA

Un petit problème de sécurité concernant Mega, le service de Kim Dotcom, a été mis en avant par Michael Koziarski. En effet, il est très simple de récupérer la clé secrète de votre compte Mega, c'est-à-dire celle qui est utilisée pour le chiffrement de vos fichiers. Pour cela, il suffit d'utiliser le bookmarklet qui se trouve ici.

Tout ce qui concerne le chiffrement sur Mega est fait en JavaScript directement sur votre ordinateur. Cela signifie qu'une personne qui a accès aux serveurs de Mega, ne pourra pas déchiffrer vos documents. Par contre, si l'attaquant a accès à votre ordinateur, il peut sans problème récupérer cette clé dans la mémoire de votre navigateur et déchiffrer vos documents.

La belle affaire, me direz-vous...

Sauf que la société Mega pourrait elle-même récupérer les "master key" de ses utilisateurs et ainsi accéder à leurs fichiers puisque le navigateur valide tout ce qui provient des serveurs de Mega. Techniquement, si Mega est piraté ou forcé par la justice à donner accès aux fichiers d'un de ses utilisateurs, rien n'empêche la récupération de cette clé maitresse de leur côté.

MegaPwn est donc un proof of concept destiné à alerter le public sur ce problème. Bram Van der Kolk de Mega a commenté l'affaire sur Torrentfreak en expliquant que la société n'aurait aucun intérêt à détourner les clés de ses propres utilisateurs puisque cela mettrait en péril leur réputation et la confiance que les gens leur accordent.

Toutefois, si vous utilisez ce genre de services cloud pour stocker des fichiers, même si on vous promet la lune en matière de chiffrement, ne leur faites jamais confiance et optez plutôt pour un chiffrement PGP fort en local avant de balancer vos documents sur leurs serveurs.


Facebook Twitter Email Copier Url

4 Responses to “MegaPWN – Récupérer la master key d’un compte MEGA”

  1. jujujuju dit :

    Je ne vois pas en quoi c’est un problème de sécurité.
    C’est la même chose sur tous les sites non ?
    Ma banque peut récupérer mon password en clair en mettant un script sur leur page de connexion. Idem pour mon assurance, idem pour paypal, idem pour ebay, idem….

  2. Daniel dit :

    C’est possible d’utiliser PGP sur Mega je pensais que c’etait que pour les clients de messagerie

  3. Thibaut Merelle dit :

    Non mais on va résoudre le problème en apprenant par coeur le hash de nos password, comme ça on sera tranquille… Ca devient nawak le “chiffrement” et les password. Plus de sécurité nulle part…

  4. Guillaume Hachez dit :

    En soi, si un méchant a accès à mon pc, j’ai de gros gros problèmes. C’est un peu comme le “scandale” des passwords dans Google Chrome.

A gagner – Des codes abonnement pour F-Secure Key

bigstock

Aujourd'hui je vous propose de gagner des codes pour des abonnements d'un an pour Key, le gestionnaire de mot de passe de F-Secure.

Si vous êtes adeptes des ouvertures de comptes en ligne à tout-va, ce petit soft peut vous être d'une grande utilité, voir pour ceux qui décideraient de renforcer tous leurs mots de passe en cours d'utilisation.

Avec Key vous pouvez stocker tous vos mots de passe et y accéder facilement, sur n'importe quel appareils, desktop ou mobile et même générer des mots de passe renforcés et uniques chaque fois que vous en avez besoin.

Pratique pour ceux qui ont tendance à aller au plus vite en mettant la date de naissance du dernier né ;)

Pour jouer ça se passe tranquillou avec Kontest:

Toutes les fonctionnalités de Key sont listées ici

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 57010 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 57010 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Les Derniers Articles du Blog

  • Inscrivez vous aux bon plans

  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • DANS TON CHAT (BASHFR)

    Emy : Mon frère est trop fort...
    Emy : Je prends la pilule
    Emy : Pour pas l'oublier j'ai un rappel sur mon portable
    Emy : Je finissais de débarrasser la table quand ya mon frère qui gueule
    Emy : "Ton portable sonne ! Ya Pilule qui t'appelle !"

    -- http://danstonchat.com/8914.html
  • Un boitier externe pour booter des ISO à

    gogo sans se prendre la tête

    Il s'agit d'un boitier externe pour disque dur 2,5" fabriqué par la société Zalman, qui a la particularité d'avoir un petit écran de contrôle et qui permet de choisir l'ISO sur laquelle vous souhaitez booter...lire la suite

    Microsoft récupère vos clés de chiffrement.

    Voici comment les en empêcher

    Si vous avez acheté un appareil sous Windows 10 équipé d'une puce qui chiffre par défaut le disque, ne vous pensez pas en sécurité pour autant : La clé de récupération qui vous permet de déchiffrer vos données...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »