Quelques heures auront suffi à de nombreux experts en sécurité pour pointer du doigt les faiblesses du système de chiffrement de l’espace privé des utilisateurs de Mega. Des failles ayant d’ores et déjà été découvertes.

Au-delà de ces quelques petits soucis techniques, liés à un démarrage sur les chapeaux de roue, Mega semble devoir tenir ses promesses. Pour autant, quelques nuages commencent déjà à s’amonceler là où on s’y attendait le moins…
Mega devait être un Megaupload hypersécurisé, totalement chiffré. Un coffre fort inviolable, autant pour vous protéger vous que pour protéger Kim Dotcom de toute responsabilité en cas d’hébergement de fichiers illégaux.
Or, justement, côté sécurité et respect de votre vie privée, on en sait désormais un peu plus. La méthode de chiffrement des données (qui s’effectue à la volée) utilise un système de clés privée/publique chiffrées en 2048 bits RSA. Comme il est parfois demandé de le faire avec certains systèmes de génération de chiffrement, il est possible de créer plus de « hasard » en agitant sa souris et en tapotant à l’envi sur son clavier. Pourquoi pas, ça fait passer le temps…

Manque d’expérience

Pour autant, certains experts en sécurité pointent du doigt que cet outil de chiffrement pourrait être désactivé pour certains utilisateurs sans qu’ils le sachent.
Analysis: Mega can selectively disable crypto for targeted users without them noticing. Crypto also uses insufficient sources of randomness

— Nadim Kobeissi (@kaepora) Janvier 19, 2013
C’est ce qu’avance notamment Nadim Kobeissi, un des développeurs du logiciel Cryptocat, utilisé pour chatter de manière sécuriser depuis un navigateur. C’est d’ailleurs toujours Nadim Kobeissi qui indiquait dans un autre tweet avoir découvert que l’outil de chiffrement utilisé par l’équipe de Kim Dotcom fonctionnait exactement comme une ancienne version de Cryptocat, indiquant plus tard dans un échange que le fondateur de Megaupload aurait pu mieux faire. « « Ancien » comme dans « nous avons fait bien mieux depuis » », répondait-il ainsi à une question lui demandant d’expliciter ce qu’il voulait dire en parlant d’une ancienne version de Cryptocat.
@kimdotcom Dude you could’ve asked for advice

— Nadim Kobeissi (@kaepora) Janvier 19, 2013
De nombreux acteurs du monde du chiffrement semblent même s’étonner que Kim Dotcom n’ait apparemment pas fait appel à des personnes compétentes sur le sujet…

Nécessité de réagir

Une relative incompétence de débutant qui pourrait être très réelle. Dans un tweet, DrWhax, expert en sécurité et co-fondateur de BlackMountaintSecurity, indiquait, sans sourcer l’origine des propos, que Mega aurait déjà répondu à ces critiques en déclarant : « c’est notre premier projet Javascript, soyez compréhensifs ». Compréhensifs, pourquoi pas, mais cela pose toutefois la question de la pertinence d'un service pas aussi sûr qu'il le prétend. On peut même se demander s'il ne vaut mieux pas patienter que tout soit corriger avant de commencer à l'utiliser.

Car les experts en sécurité et chiffrements se sont beaucoup penchés sur le sujet dans les premières heures d’existence du service. Les uns annonçant et listant les vulnérabilités d’ores et déjà découvertes, dont une permettrait d’accéder à l’espace privé d’un utilisateur sans son consentement, tandis que d’autres s’amusaient à publier le code source de l’outil de chiffrement.

Au-delà du succès retentissant que semble devoir rencontrer Mega, une chose est sûre, Kim Dotcom et ses troupes ont intérêt à améliorer rapidement leur service et à corriger leurs erreurs, pour éviter que leur nouveau départ ne soit un faux départ...

Pierre Fontaine, 01NET.