Mega a répondu en début de semaine aux critiques de l’industrie concernant les fonctionnalités de sécurité qui ne sont pas à la hauteur. La société a largement rejeté la plupart des allégations, même si elle a admis dans certains cas des lacunes et décidé d’apporter des améliorations, notamment en ajoutant la possibilité de modifier et de réinitialiser votre mot de passe.
Alors que Mega n’a pas mentionné le moment où celles seraient ajoutées, il fait promettre que les caractéristiques suivantes seront disponibles “dans un avenir proche” :
- Une fonction de changement de mot de passe permettra de re-chiffrer la clé principale avec votre nouveau mot de passe et le mettre à jour sur ses serveurs
- Un mécanisme de réinitialisation vous permettra de vous connecter sur votre compte, avec tous les fichiers étant illisible. Maintenant, si vous avez des clés de fichiers déjà pré-exportées, vous pourrez les importer à nouveau afin d’avoir accès à ces fichiers. En plus de cela, vous pourriez demander à vos pairs ayant récupérer des données cryptées de vous envoyer les clés spécifiques, mais c’est tout – le reste de vos données apparaitront comme des données binaires jusqu’à ce que vous vous souveniez de votre mot de passe
- Une fonction qui permet à l’utilisateur d’ajouter autant d’entropie manuellement comme il ou elle l’entend avant de procéder à la génération de clés
Ce sont les deux caractéristiques qui auraient dû être incluses dès le départ. Actuellement, si vous oubliez votre mot de passe Mega, vous n’avez aucun moyen d’accéder à vos fichiers ou dossiers, et si quelqu’un arrive à le récupérer, ce dernier peut avoir accès à vos fichiers et dossiers très simplement sans que vous puissiez faire quelque chose.
Dans le reste de son article, Mega a souligné que des allégations spécifiques à partir des articles provenant d’Ars Technica et Forbes.
Ars a critiqué le manque d’options pour la gestion du mot de passe, en utilisant la déduplication de bloc, ainsi que le fait que la clé utilisée pour chiffrer des fichiers et des dossiers sur le service est stockée sur les serveurs de Mega. Alors que Mega a répondu à répondu à la première critique, ce dernier n’a pas l’air de se soucier de la seconde déclaration. Celle-ci conduit à cette explication :
Fact #1: Once this feature is activated, chunk MACs will indeed be stored on the server side, but they will of course be encrypted (and we will not use ECB!).
Fact #2: MEGA indeed uses deduplication, but it does so based on the entire file post-encryption rather than on blocks pre-encryption. If the same file is uploaded twice, encrypted with the same random 128-bit key, only one copy is stored on the server. Or, if (and this is much more likely!) a file is copied between folders or user accounts through the file manager or the API, all copies point to the same physical file.
Forbes a quant-à lui mis l’accent sur d’autres faiblesses de Mega, et comment un hacker pourrait s’introduire et avoir accès à vos données, généralement par la découverte de failles ou par la désactivation du cryptage. La compagnie a répliqué avec une explication plus détaillée sur la façon dont son site est structuré, y compris le contenu qui est chiffré, vérifié, et comment.
En fin de compte, chaque système a ses faiblesses et peut éventuellement faire l’objet d’une attaque. Si vous voulez vraiment garder vos données en toute sécurité, ne les téléchargez pas sur Internet.
Cela étant dit, si vous souhaitez utiliser le service de Kim Dotcom, assurez-vous d’utiliser un mot de passe unique (pas le même que celui que vous avez sur d’autres services), et changez le régulièrement. Cela vaut pour tous les sites sur le World Wide Web, et pas seulement Mega !
