Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

MegaPWN – Récupérer la master key d’un compte MEGA

MegaPWN – Récupérer la master key d’un compte MEGA

Un petit problème de sécurité concernant Mega, le service de Kim Dotcom, a été mis en avant par Michael Koziarski. En effet, il est très simple de récupérer la clé secrète de votre compte Mega, c'est-à-dire celle qui est utilisée pour le chiffrement de vos fichiers. Pour cela, il suffit d'utiliser le bookmarklet qui se trouve ici.

Tout ce qui concerne le chiffrement sur Mega est fait en JavaScript directement sur votre ordinateur. Cela signifie qu'une personne qui a accès aux serveurs de Mega, ne pourra pas déchiffrer vos documents. Par contre, si l'attaquant a accès à votre ordinateur, il peut sans problème récupérer cette clé dans la mémoire de votre navigateur et déchiffrer vos documents.

La belle affaire, me direz-vous...

Sauf que la société Mega pourrait elle-même récupérer les "master key" de ses utilisateurs et ainsi accéder à leurs fichiers puisque le navigateur valide tout ce qui provient des serveurs de Mega. Techniquement, si Mega est piraté ou forcé par la justice à donner accès aux fichiers d'un de ses utilisateurs, rien n'empêche la récupération de cette clé maitresse de leur côté.

MegaPwn est donc un proof of concept destiné à alerter le public sur ce problème. Bram Van der Kolk de Mega a commenté l'affaire sur Torrentfreak en expliquant que la société n'aurait aucun intérêt à détourner les clés de ses propres utilisateurs puisque cela mettrait en péril leur réputation et la confiance que les gens leur accordent.

Toutefois, si vous utilisez ce genre de services cloud pour stocker des fichiers, même si on vous promet la lune en matière de chiffrement, ne leur faites jamais confiance et optez plutôt pour un chiffrement PGP fort en local avant de balancer vos documents sur leurs serveurs.


Facebook Twitter Email Copier Url

4 Responses to “MegaPWN – Récupérer la master key d’un compte MEGA”

  1. jujujuju dit :

    Je ne vois pas en quoi c’est un problème de sécurité.
    C’est la même chose sur tous les sites non ?
    Ma banque peut récupérer mon password en clair en mettant un script sur leur page de connexion. Idem pour mon assurance, idem pour paypal, idem pour ebay, idem….

  2. Thibaut Merelle dit :

    Non mais on va résoudre le problème en apprenant par coeur le hash de nos password, comme ça on sera tranquille… Ca devient nawak le “chiffrement” et les password. Plus de sécurité nulle part…

  3. Daniel dit :

    C’est possible d’utiliser PGP sur Mega je pensais que c’etait que pour les clients de messagerie

  4. Guillaume Hachez dit :

    En soi, si un méchant a accès à mon pc, j’ai de gros gros problèmes. C’est un peu comme le “scandale” des passwords dans Google Chrome.

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55276 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55276 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    <SG> Avant les gens pour se séduire étaient créatifs: fleurs, dîner, cadeaux.
    <SG> Maintenant ma soeur lance des "pokes" et "chie" sur le mur de ses conquêtes facebook...

    -- http://danstonchat.com/9351.html
  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »