Un petit problème de sécurité concernant Mega, le service de Kim Dotcom, a été mis en avant par Michael Koziarski. En effet, il est très simple de récupérer la clé secrète de votre compte Mega, c’est-à-dire celle qui est utilisée pour le chiffrement de vos fichiers. Pour cela, il suffit d’utiliser le bookmarklet qui se trouve ici.

Tout ce qui concerne le chiffrement sur Mega est fait en JavaScript directement sur votre ordinateur. Cela signifie qu’une personne qui a accès aux serveurs de Mega, ne pourra pas déchiffrer vos documents. Par contre, si l’attaquant a accès à votre ordinateur, il peut sans problème récupérer cette clé dans la mémoire de votre navigateur et déchiffrer vos documents.

La belle affaire, me direz-vous…

Sauf que la société Mega pourrait elle-même récupérer les « master key » de ses utilisateurs et ainsi accéder à leurs fichiers puisque le navigateur valide tout ce qui provient des serveurs de Mega. Techniquement, si Mega est piraté ou forcé par la justice à donner accès aux fichiers d’un de ses utilisateurs, rien n’empêche la récupération de cette clé maitresse de leur côté.

MegaPwn est donc un proof of concept destiné à alerter le public sur ce problème. Bram Van der Kolk de Mega a commenté l’affaire sur Torrentfreak en expliquant que la société n’aurait aucun intérêt à détourner les clés de ses propres utilisateurs puisque cela mettrait en péril leur réputation et la confiance que les gens leur accordent.

Toutefois, si vous utilisez ce genre de services cloud pour stocker des fichiers, même si on vous promet la lune en matière de chiffrement, ne leur faites jamais confiance et optez plutôt pour un chiffrement PGP fort en local avant de balancer vos documents sur leurs serveurs.