Sécurité IT : hacker Mega peut rapporter 10 000 euros

Interpellé quant au manque de fiabilité de son service cloud Mega, Kim Dotcom affiche une sérénité certaine sur le volet sécurité IT.

Le sulfureux homme d’affaires, qui gère son nouveau business Internet depuis la Nouvelle-Zélande, promet 10 000 euros à quiconque déjouera le dispositif de chiffrement appliqué au transfert et au partage de fichiers.

Les hackers de tous bords sont conviés sous la bannière de ce concours à durée indéterminée.

Il leur appartiendra notamment de percer les secrets du système open source « User Controlled Encryption », intégré dans le navigateur (Google Chrome de préférence), et qui fait de la confidentialité un élément central de Mega.

Très explicite à cet égard, la FAQ officielle fait état d’une protection « de bout en bout » lors du téléversement de données.

Tout se passe côté client, de la génération des clés de chiffrement à leur échange, puis leur gestion ultérieure.

Pour les uploads en masse, les algorithmes reposent sur le standard AES 128 bits. Côté serveur, l’intégrité des contenus est assurée par une variante en mode CCM (Counter with Cipher Block Chaining – Message Authentification Code).

Pour les partages, Mega a adopté RSA-2048, considéré « ni trop lent, ni trop dangereux ».

S’y adjoignent la navigation sécurisée en HTTPS et une clé-maître liée à un mot de passe qu’il est impossible de réinitialiser.

Les équipes de Kim Dotcom reconnaissent tout de même à leur oeuvre une faille, liée en l’occurrence à la couche SSL (Secure Sockets Layer).

« Si vous savez casser SSL, alors vous savez casser Mega« , déclaraient les intéressés dans un billet de blog du 22 janvier. Et d’ajouter : « Dans ce cas, vous préférerez casser des choses bien plus intéressantes que Mega« .

—— A voir aussi ——
Quiz ITespresso.fr : la sécurité sur Internet, ça vous connaît ?

Crédit photo : LeventeGyori – Shutterstock.com