Espace membre :
Clubic Pro

Mega : les éditeurs s'interrogent sur le chiffrement

Publié par Olivier Robillart le lundi 21 janvier 2013
Les méthodes de chiffrement du service de stockage Mega suscitent le débat. Le nouvel outil dévoilé par Kim Dotcom propose en effet de générer une clé en utilisant les frappes au clavier ou les mouvements de la souris. Une méthode déjà bien connue et qui devra être mise à l'épreuve dans les jours prochains.

La plateforme de stockage Mega repose sur un système de chiffrement dit asymétrique dans lequel deux clés sont générées. L'une est privée, l'autre publique peut ensuite être partagée avec d'autres utilisateurs. Ces clés utilisant de l'AES-256 sont alors générées en fonction des informations que l'utilisateur entre mais prend également en compte une part d'aléatoire en s'appuyant notamment sur des mouvements de souris ou les frappes de clavier.

Mega cration de la cl user

Un tel système n'est pas nouveau et a d'ailleurs déjà été utilisé pour des services comme Cryptocat, afin de chiffrer du côté du client des conversations en chat. Si le chiffrement en lui-même est robuste, des questions peuvent tout de même se poser quant à la génération de cette clé.

Thibault Koechlin, responsable du pôle conseil de NBS Systems nous explique : « Le système proposé par Mega ne donne pas l'assurance de la qualité. S'agissant de la génération de la clé de chiffrement, il y a effectivement des questions à se poser. Si la création de ces clés est prévisible, cela pourrait entraîner une mise à mal du système. D'autant que d'autres services comme Wuala proposent de chiffrer localement des données sur le poste utilisateur. Mega va donc traverser une phase de maturation qui peut durer quelques semaines ou mois mais nous allons très bientôt voir apparaître des résultats qu'ils soient positifs ou négatifs ».

Mega devrait donc répondre aux critiques dans les prochains jours en corrigeant certains points de son service. Sur son blog, Bluetouff précise que des failles ont été déjà trouvées et parfois même corrigées par les développeurs de Mega.

Plus globalement, les éditeurs de sécurité interrogés par nos soins estiment que la nouvelle plateforme sert « à protéger juridiquement le site (notoirement contre les actions des puissants lobbies hollywoodiens), absolument pas les utilisateurs ». Guillaume Lovet, Responsable de l'équipe EMEA chez Fortinet rappelle « qu'en informatique, on ne peut pas générer une clef complètement aléatoirement - on essaye de s'en approcher le plus possible par diverses techniques. Vu l'exposition médiatique de Mega, on saura assez vite si leur méthode de génération des clefs est suffisamment aléatoire ».

De son côté, gs2i invite les éventuels professionnels intéressés par le service à regarder de plus près ses conditions d'utilisation. Thierry Goigoux, experte en sécurité précise que « Mega stocke toutes les données des utilisateurs, dont le login et le mot de passe servant à chiffrer et décrypter les données. En cas de souci, ils transmettront les données privées aux services concernés. Partager des informations non sensibles pour un particulier ne représente aucun risque, cependant, en tant qu'entreprise, mieux vaut garder les données chez soi ou chez un fournisseur n'ayant pas ce type de condition de vente ».
Chargement des commentaires...
( les afficher maintenant )

Les offres d'emploi

Partenaire Clubic.com

BE GEEK ! Avec

flechePublicité