MEGA est une plateforme de stockage en cloud de premier plan, qui vise raliser un chiffrement de bout en bout contrl par l’utilisateur. Nous montrons que le systme de MEGA ne protge pas ses utilisateurs contre un serveur. Au cours de la dcennie qui a suivi la cration de Mega par Kim Dotcom, ce service de stockage en cloud a stock 120 milliards de fichiers. L’un des principaux arguments de vente qui a contribu alimenter cette croissance est une promesse extraordinaire qu’aucun concurrent de Mega de premier plan ne fait : Mme Mega ne peut pas dchiffrer les donnes qu’il stocke .
Rappelons que, MEGA est une plateforme de stockage et de collaboration dans le cloud fonde en 2013 qui propose des services de stockage et de communication scuriss. Avec plus de 250 millions d’utilisateurs enregistrs, 10 millions d’utilisateurs actifs quotidiens et 1000 Po de donnes stockes, MEGA est un acteur important dans le domaine du stockage en cloud. Ce qui les distingue de leurs concurrents tels que DropBox, Google Drive, iCloud et Microsoft OneDrive, ce sont les garanties de scurit revendiques : MEGA se prsente comme la socit de protection de la vie prive et promet un chiffrement de bout en bout contrl par l’utilisateur (UCE).
Sur la page d’accueil de la socit, par exemple, Mega affiche une image qui compare ses offres Dropbox et Google Drive. Outre le fait que les prix de Mega sont plus bas, la comparaison souligne que Mega offre un chiffrement de bout en bout, alors que les deux autres ne le font pas.
Au fil des ans, la socit a rappel plusieurs reprises au monde cette distinction suppose, qui est peut-tre mieux rsume dans ce billet de blog. La socit y affirme que tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d’accder vos donnes sur MEGA. Mme dans le cas exceptionnellement improbable o toute l’infrastructure de MEGA serait saisie ! .
Au fil des ans, la socit a rappel plusieurs reprises au monde cette distinction suppose, qui est peut-tre mieux rsume dans ce billet de blog. La socit y affirme que tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d’accder vos donnes sur MEGA. Mme dans le cas exceptionnellement improbable o toute l’infrastructure de MEGA serait saisie ! .
Dans un biellt de blog publi le 29 Oct 2020 sur son site officiel, Mega dclare : Notez que mme un mot de passe fort et apparemment indchiffrable peut ne pas vous protger si vous l’avez utilis pour plusieurs comptes. Certains services en ligne majeurs ont divulgu tous les mots de passe de leurs utilisateurs dans le pass – Adobe (153 millions de comptes), Dropbox (68 millions de comptes) et LinkedIn (168 millions de comptes) ne sont que trois exemples parmi des centaines.
MEGA ne stocke pas votre mot de passe, mais dispose d’un processus chiffrement robuste pour vous authentifier (voir galement la section 3.2 de notre livre blanc sur la scurit). Tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d’accder vos donnes sur MEGA. Mme dans le cas exceptionnellement improbable o toute l’infrastructure de MEGA serait saisie , ajoute lentreprise.
Comment Mega vite le dtournement d’informations d’identification
- Les cybercriminels recueillent les informations d’identification d’un site Web pirat ;
- Les cybercriminels tentent de se connecter d’autres services ;
- Le compte est pris en charge par les cybercriminels et utilis de manire abusive.
Une dcennie d’assurances dmenties
Les recherches publies mardi montrent que l’affirmation selon laquelle Mega, ou une entit contrlant l’infrastructure de Mega, est incapable d’accder aux donnes stockes sur le service serait fausse. Les auteurs affirment que l’architecture utilise par Mega pour chiffrer les fichiers prsente des failles fondamentales en matire de cryptographie, qui font qu’il est trivial pour toute personne ayant le contrle de la plateforme d’effectuer une attaque de rcupration complte des cls sur les utilisateurs une fois qu’ils se sont connects un nombre suffisant de fois.
La partie malveillante peut alors dchiffrer les fichiers stocks ou mme tlcharger des fichiers compromettants ou malveillants sur un compte ; ces fichiers ne se distinguent pas des donnes rellement tlcharges. Nous montrons que le systme de MEGA ne protge pas ses utilisateurs contre un serveur malveillant et prsentons cinq attaques distinctes, qui ensemble permettent une compromission complte de la confidentialit des fichiers de l’utilisateur , ont crit les chercheurs Matilda Backendal, Miro Haller and Kenneth G. Patersonsur. En outre, l’intgrit des donnes de l’utilisateur est endommage dans la mesure o un attaquant peut insrer des fichiers malveillants de son choix qui passent tous les contrles d’authenticit du client. Nous avons construit des versions de preuve de concept de toutes les attaques, dmontrant leur caractre pratique et exploitable.
A la racine de la hirarchie des cls d’un client MEGA, illustre dans la figure ci-dessous, se trouve le mot de passe choisi par l’utilisateur. A partir de ce mot de passe, le client MEGA drive une cl d’authentification et une cl de chiffrement. La cl d’authentification est utilise pour identifier les utilisateurs de MEGA. La cl de chiffrement chiffre une cl matresse gnre alatoirement, qui son tour chiffre d’autres lments cls de l’utilisateur.
Pour chaque compte, cette cl comprend un ensemble de cls asymtriques compos d’une paire de cls RSA (pour le partage de donnes avec d’autres utilisateurs), d’une paire de cls Curve25519 (pour l’change de cls de chat pour la fonctionnalit de chat de MEGA), et d’une paire de cls Ed25519 (pour la signature des autres cls).
En outre, pour chaque fichier ou dossier tlcharg par l’utilisateur, une nouvelle cl de chiffrement symtrique appele cl de nud est gnre. Les cls asymtriques prives et les cls de nud sont chiffres par le client avec la cl principale en utilisant AES-ECB et stockes sur les serveurs de MEGA pour permettre l’accs partir de plusieurs dispositifs. Un utilisateur sur un nouveau dispositif peut entrer son mot de passe, s’authentifier auprs de MEGA, rcuprer le matriel de cl chiffr et le dchiffrer avec la cl de chiffrement drive du mot de passe.
Selon les chercheurs, MEGA utilise le chiffrement RSA pour partager les cls de nuds entre les utilisateurs, pour changer un identifiant de session avec l’utilisateur lors de la connexion et dans un transfert de cl hrit pour le chat MEGA. Chaque utilisateur possde une cl publique RSA Pkshare utilise par d’autres utilisateurs ou par MEGA pour chiffrer les donnes pour le propritaire, et une cl prive Skshare utilise par l’utilisateur lui-mme pour dchiffrer les donnes partages avec lui. La cl prive RSA est stocke pour l’utilisateur sous forme crypte sur les serveurs de MEGA. La rcupration de la cl signifie qu’un attaquant russit entrer en possession de la cl prive d’un utilisateur, ce qui lui permet de dchiffrer les messages chiffrs destins l’utilisateur.
Les chercheurs ont dcouvert une attaque pratique pour rcuprer la cl prive RSA d’un utilisateur en exploitant l’absence de protection de l’intgrit des cls chiffres stockes pour les utilisateurs sur les serveurs de MEGA. Une entit contrlant l’infrastructure centrale de MEGA peut altrer la cl prive RSA chiffre et tromper le client en lui faisant divulguer des informations sur l’un des facteurs premiers du module RSA pendant l’change de l’ID de session. Plus prcisment, l’ID de session que le client dchiffre avec la cl prive altre et envoie au serveur rvlera si le facteur premier est infrieur ou suprieur une valeur choisie par l’adversaire.
Cette information permet une recherche binaire du facteur premier, avec une comparaison par tentative de connexion du client, permettant au cybercriminel de rcuprer la cl prive RSA aprs 1023 connexions du client. En utilisant la cryptanalyse en treillis, le nombre de tentatives de connexion requises pour l’attaque peut tre rduit 512.
Les chercheurs ont prsent des correctifs pour les failles qu’ils ont identifies, mais on ne sait pas si Mega les suivra. Pour l’instant, les chercheurs affirment que les modifications apportes par Mega bloquent l’attaque spcifique de rcupration de cls qu’ils ont conue, mais ils restent convaincus que la faille dmontre que les assurances de Mega sont exagres.
Source : Research Team
Et vous ?
Quel est votre avis sur le sujet ?
Cette dmonstration est elle pertinente ?
Voir aussi :