Vous n’avez pas dû manquer le médiatisé lancement de Mega, la nouvelle plateforme d’échange du fondateur de Megaupload, qui compte bien prendre sa revanche envers les ayants-droit.

Je ne vais pas vous faire un énième test du site, il y a déjà de très bons articles sur le sujet

Je vais plutôt vous parler des quelques failles de sécurité découvertes sur Mega…

Première inquiétude chez Zataz, la possibilité d’accéder aux fichiers sources Javascript du site, permettant potentiellement de les modifier pour profiter d’un usage détourné.

Il semble aussi que la transmission du mot de passe ne soit pas encore sécurisée, et qu’il soit possible de l’intercepter en utilisant des analyseurs de paquets, ce qui la fout mal pour un site mettant en avant l’extrême sécurité fournie par son cryptage…

Des failles XSS ont été aussi découvertes, mais corrigées quasiment dans l’heure, ce qui démontre au moins la réactivité des équipes techniques de Mega :

L’autre point d’importance où les utilisateurs du service vont devoir être vigilants se situe au niveau du mot de passe. Il est en effet impossible de changer le mot de passe, ce dernier servant de clé de chiffrage pour toutes vos données.

Ce qui signifie que sa perte rendra inutilisables toutes vos données stockées sur Mega, mais aussi que si un hacker arrive à mettre la main dessus (en piratant la base de données de Mega ou en utilisant des malwares ou spams pour retrouver votre mot de passe), il ne sera pas possible de modifier le mot de passe sans perdre le contenu de votre compte Mega !

En gros, une fois qu’un compte Mega a été piraté, il restera piraté pour toujours, car il n’est pas possible de supprimer son compte ni de changer son mot de passe…

Je ne saurais trop vous conseiller de patienter avant d’utiliser les services de Mega, histoire que les différents problèmes soient définitivement réglés, car là il est un peu trop dangereux de confier ses données à un système ne permettant pas la modification du mot de passe (au prix éventuel d’une perte de données), ni la suppression d’un compte, même si ce dernier a été piraté.

Je vous laisse imaginer le paradis que ça peut devenir pour les hackers pour stocker leurs fichiers malveillants en toute sécurité…

Source