Débat sur la sécurité sur Mega - Actualités CSO Actualités

Débat sur la sécurité sur Mega

le 22/01/2013, par Jean Elyan avec IDG News Service, Actualités, 1076 mots

Débat sur la sécurité sur Mega

Mega, le service de stockage et de partage de fichiers de Kim Dotcom, fait l'objet de nombreuses critiques de la part de chercheurs en sécurité qui ont analysé la façon dont le site protège les données des utilisateurs. Les responsables assurent que leur site n'est pas plus vulnérable aux attaques que les sites de banque en ligne.

Dimanche dernier, depuis sa maison d'Auckland, Kim Dotcom a lancé à grands frais son service Mega, qui succède à feu Megaupload démantelé pour violation de copyright. Kim Dotcom et ses collègues sont toujours sous le coup d'une plainte déposée par les États-Unis en janvier 2012. Alors que Kim Dotcom affirme aux utilisateurs de Mega que le système de cryptage de sa plateforme protège leur vie privée et leurs données, certains observateurs prétendent au contraire que le système de chiffrement choisi est bourré de failles.
Mega utilise le protocole SSL (Secure Sockets Layer), assez courant pour le cryptage sur Internet, pour sécuriser la connexion entre les ordinateurs des utilisateurs et ses propres serveurs. Une fois la connexion SSL établie, Mega exécute un code JavaScript dans le navigateur du visiteur qui déclenche le cryptage des fichiers avant la transmission des données aux serveurs de Mega. Mais on sait depuis longtemps que le protocole SSL n'est pas totalement fiable sur le web. En 2009, le chercheur en sécurité Moxie Marlinspike  a créé un outil du nom de SSLstrip qui permet à un attaquant d'intercepter et de couper une connexion SSL. Celui-ci peut alors espionner toutes les données que l'utilisateur envoie vers un faux site. Si Mega repose réellement sur le SSL, « il n'y a vraiment aucune raison de faire du cryptage côté client », a déclaré hier le chercheur dans une interview. «  Ce processus expose à toutes les faiblesses du SSL ». Si quelqu'un attaque Mega à l'aide de l'outil SSLstrip, il peut alors envoyer son propre code malveillant JavaScript au navigateur de la victime. L'utilisateur sera forcément amené à divulguer son mot de passe, ce qui permettra à l'attaquant de déchiffrer toutes ses données stockées dans Mega.

La même sécurité que les sites de banque en ligne (...)

La même sécurité que les sites de banque en ligne 


Dans une interview, le CTO de Mega Mathias Ortmann a déclaré hier que Mega n'était pas plus exposé aux attaques que n'importe quel autre site s'appuyant sur le SSL, les sites de banque en ligne par exemple. « Ces attaques liées à la nature du protocole SSL ne nous visent pas spécifiquement. Elles s'appliquent à toute entreprise qui a des exigences de sécurité au moins aussi élevées que nous ».

Le SSL repose sur des certificats de sécurité cryptés émis par des certificateurs et des organismes agréés. Mais le système d'émission des certificats a été mis en cause depuis que des escrocs ont réussi à obtenir des certificats valides pour des sites web qui ne leur appartiennent pas. Mathias Ortmann a reconnu qu'il n'était pas exclu que quelqu'un puisse abuser d'une autorité de certification pour obtenir un certificat SSL valide pour le vrai site mega.co.nz, ce qui permettrait à l'attaquant de créer un faux site Mega capable d'émettre en apparence un vrai certificat. « Je ne serais pas surpris si un gouvernement émettait un faux certificat pour mega.co.nz et l'utilise pour mener une attaque », a dit le CTO de Mega. « Mais nous allons régulièrement partir à la chasser des certificats SSL non autorisés », a-t-il dit.

« Dans le cas où les serveurs de Mega seraient compromis, il serait également possible pour un attaquant d'introduire du code JavaScript malveillant », a déclaré Nadim Kobeissi, le développeur de Cryptocat, un programme de messagerie instantanée cryptée. Mega pourrait aussi être utilisé pour délivrer un code malveillant. « Chaque fois que vous ouvrez le site, le code de cryptage est réactivé », a expliqué le développeur. « Donc, si un jour je décide de désactiver le cryptage pour tous, je peux envoyer un code différent qui ne crypte rien et vole les clés de chiffrement ». Mathias Ortmann a répliqué que les utilisateurs sont toujours obligés de faire confiance à leur fournisseur de service lors du téléchargement et de l'exécution du code. Parce que le code JavaScript émis par Mega est envoyé au navigateur, les gens seront en mesure d'analyser régulièrement le code et s'assurer qu'il est digne de confiance ou pas. « Si Mega altérait le JavaScript, il deviendrait détectable », a déclaré le CTO de Mega.

Les fondateurs du site veulent surtout se couvrir (...)

Les fondateurs du site veulent surtout se couvrir


Selon Moxie Marlinspike, Mega aurait une meilleure option : utiliser une extension certifiée dans le navigateur pour chiffrer les données, ce qui empêcherait toute manipulation par un attaquant. « À défaut, un logiciel client installé pourrait faire la même chose sans exposer l'utilisateur aux insuffisances du SSL ». Le chercheur pense aussi que fondamentalement les utilisateurs de Mega ne se soucient pas beaucoup de la sécurité, et que leur seule motivation est le partage de fichiers. La présence de données chiffrées sur Mega va surtout servir à protéger les fondateurs du site de toute responsabilité en matière de contrefaçon et de droits d'auteur, comme ce fut le cas pour Megaupload. « L'essentiel pour les opérateurs de Mega sera de dire qu'ils n'ont pas la capacité technique d'inspecter le contenu de leurs serveurs pour s'assurer que le copyright est respecté », a déclaré Moxie Marlinspike.

Comme tout nouveau service en ligne, le code de Mega a déjà été mis à l'épreuve. Dimanche, on a appris que le site contenait une faille XSS dite cross-site scripting, qui dans certains cas peut permettre à un attaquant de voler les cookies d'un utilisateur, ce qui lui permettrait au moins temporairement d'abuser du compte de la victime. Mais cette faille a été rapidement corrigée. « Le problème XSS a été résolu dans l'heure », a signalé dimanche le programmeur en chef de Mega Bram Van der Kolk sur Twitter. « Un bug embarrassant, et un très bon point pour Mega », a renchéri Mathias Ortmann. « La faille XSS était plus que problématique. Cela n'aurait pas dû arriver. C'est vraiment parce que le JavaScript est tout à fait nouveau pour Bram et moi et nous ne nous attendions pas à ce comportement de la part d'un navigateur. Nous avions discuté du problème, mais nous n'avons pas pu le tester. Oui, c'est un peu embarrassant. Mais la faille était corrigée entre 30 minutes et moins d'une heure après qu'elle nous a été signalée ». Mega devrait publier aujourd'hui une réponse à ceux qui mettent en doute la sécurité de sa plateforme.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »