Mega, l'entreprise de stockage en cloud, dit qu'elle ne peut pas déchiffrer les fichiers des utilisateurs,
des failles découvertes dans son système montrent que Mega peut lire les données

MEGA est une plateforme de stockage en cloud de premier plan, qui vise à réaliser un chiffrement de bout en bout contrôlé par l'utilisateur. Nous montrons que le système de MEGA ne protège pas ses utilisateurs contre un serveur. Au cours de la décennie qui a suivi la création de Mega par Kim Dotcom, ce service de stockage en cloud a stocké 120 milliards de fichiers. L'un des principaux arguments de vente qui a contribué à alimenter cette croissance est une promesse extraordinaire qu'aucun concurrent de Mega de premier plan ne fait : « Même Mega ne peut pas déchiffrer les données qu'il stocke ».

Rappelons que, MEGA est une plateforme de stockage et de collaboration dans le cloud fondée en 2013 qui propose des services de stockage et de communication sécurisés. Avec plus de 250 millions d'utilisateurs enregistrés, 10 millions d'utilisateurs actifs quotidiens et 1000 Po de données stockées, MEGA est un acteur important dans le domaine du stockage en cloud. Ce qui les distingue de leurs concurrents tels que DropBox, Google Drive, iCloud et Microsoft OneDrive, ce sont les garanties de sécurité revendiquées : MEGA se présente comme la société de protection de la vie privée et promet un chiffrement de bout en bout contrôlé par l'utilisateur (UCE).

Sur la page d'accueil de la société, par exemple, Mega affiche une image qui compare ses offres à Dropbox et Google Drive. Outre le fait que les prix de Mega sont plus bas, la comparaison souligne que Mega offre un chiffrement de bout en bout, alors que les deux autres ne le font pas.

Nom : Mega.png
Affichages : 922
Taille : 61,4 Ko

Au fil des ans, la société a rappelé à plusieurs reprises au monde cette distinction supposée, qui est peut-être mieux résumée dans ce billet de blog. La société y affirme que « tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d'accéder à vos données sur MEGA. Même dans le cas exceptionnellement improbable où toute l'infrastructure de MEGA serait saisie ! ».

Au fil des ans, la société a rappelé à plusieurs reprises au monde cette distinction supposée, qui est peut-être mieux résumée dans ce billet de blog. La société y affirme que « tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d'accéder à vos données sur MEGA. Même dans le cas exceptionnellement improbable où toute l'infrastructure de MEGA serait saisie ! ».

Dans un biellt de blog publié le 29 Oct 2020 sur son site officiel, Mega déclare : « Notez que même un mot de passe fort et apparemment indéchiffrable peut ne pas vous protéger si vous l'avez utilisé pour plusieurs comptes. Certains services en ligne majeurs ont divulgué tous les mots de passe de leurs utilisateurs dans le passé - Adobe (153 millions de comptes), Dropbox (68 millions de comptes) et LinkedIn (168 millions de comptes) ne sont que trois exemples parmi des centaines. »

« MEGA ne stocke pas votre mot de passe, mais dispose d'un processus chiffrement robuste pour vous authentifier (voir également la section 3.2 de notre livre blanc sur la sécurité). Tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne sera jamais en mesure d'accéder à vos données sur MEGA. Même dans le cas exceptionnellement improbable où toute l'infrastructure de MEGA serait saisie », ajoute l’entreprise.

Nom : mega2.png
Affichages : 893
Taille : 171,5 Ko
Comment Mega évite le détournement d'informations d'identification


  1. Les cybercriminels recueillent les informations d'identification d'un site Web piraté ;
  2. Les cybercriminels tentent de se connecter à d'autres services ;
  3. Le compte est pris en charge par les cybercriminels et utilisé de manière abusive.

Une décennie d'assurances démenties

Les recherches publiées mardi montrent que l'affirmation selon laquelle Mega, ou une entité contrôlant l'infrastructure de Mega, est incapable d'accéder aux données stockées sur le service serait fausse. Les auteurs affirment que l'architecture utilisée par Mega pour chiffrer les fichiers présente des failles fondamentales en matière de cryptographie, qui font qu'il est trivial pour toute personne ayant le contrôle de la plateforme d'effectuer une attaque de récupération complète des clés sur les utilisateurs une fois qu'ils se sont connectés un nombre suffisant de fois.

La partie malveillante peut alors déchiffrer les fichiers stockés ou même télécharger des fichiers compromettants ou malveillants sur un compte ; ces fichiers ne se distinguent pas des données réellement téléchargées. « Nous montrons que le système de MEGA ne protège pas ses utilisateurs contre un serveur malveillant et présentons cinq attaques distinctes, qui ensemble permettent une compromission complète de la confidentialité des fichiers de l'utilisateur », ont écrit les chercheurs Matilda Backendal, Miro Haller and Kenneth G. Patersonsur. « En outre, l'intégrité des données de l'utilisateur est endommagée dans la mesure où un attaquant peut insérer des fichiers malveillants de son choix qui passent tous les contrôles d'authenticité du client. Nous avons construit des versions de preuve de concept de toutes les attaques, démontrant leur caractère pratique et exploitable. »

A la racine de la hiérarchie des clés d'un client MEGA, illustrée dans la figure ci-dessous, se trouve le mot de passe choisi par l'utilisateur. A partir de ce mot de passe, le client MEGA dérive une clé d'authentification et une clé de chiffrement. La clé d'authentification est utilisée pour identifier les utilisateurs de MEGA. La clé de chiffrement chiffre une clé maîtresse générée aléatoirement, qui à son tour chiffre d'autres éléments clés de l'utilisateur.

Pour chaque compte, cette clé comprend un ensemble de clés asymétriques composé d'une paire de clés RSA (pour le partage de données avec d'autres utilisateurs), d'une paire de clés Curve25519 (pour l'échange de clés de chat pour la fonctionnalité de chat de MEGA), et d'une paire de clés Ed25519 (pour la signature des autres clés).

En outre, pour chaque fichier ou dossier téléchargé par l'utilisateur, une nouvelle clé de chiffrement symétrique appelée clé de nœud est générée. Les clés asymétriques privées et les clés de nœud sont chiffrées par le client avec la clé principale en utilisant AES-ECB et stockées sur les serveurs de MEGA pour permettre l'accès à partir de plusieurs dispositifs. Un utilisateur sur un nouveau dispositif peut entrer son mot de passe, s'authentifier auprès de MEGA, récupérer le matériel de clé chiffré et le déchiffrer avec la clé de chiffrement dérivée du mot de passe.

Nom : mega3.png
Affichages : 890
Taille : 35,5 Ko

Selon les chercheurs, MEGA utilise le chiffrement RSA pour partager les clés de nœuds entre les utilisateurs, pour échanger un identifiant de session avec l'utilisateur lors de la connexion et dans un transfert de clé hérité pour le chat MEGA. Chaque utilisateur possède une clé publique RSA Pkshare utilisée par d'autres utilisateurs ou par MEGA pour chiffrer les données pour le propriétaire, et une clé privée Skshare utilisée par l'utilisateur lui-même pour déchiffrer les données partagées avec lui. La clé privée RSA est stockée pour l'utilisateur sous forme cryptée sur les serveurs de MEGA. La récupération de la clé signifie qu'un attaquant réussit à entrer en possession de la clé privée d'un utilisateur, ce qui lui permet de déchiffrer les messages chiffrés destinés à l'utilisateur.

Les chercheurs ont découvert une attaque pratique pour récupérer la clé privée RSA d'un utilisateur en exploitant l'absence de protection de l'intégrité des clés chiffrées stockées pour les utilisateurs sur les serveurs de MEGA. Une entité contrôlant l'infrastructure centrale de MEGA peut altérer la clé privée RSA chiffrée et tromper le client en lui faisant divulguer des informations sur l'un des facteurs premiers du module RSA pendant l'échange de l'ID de session. Plus précisément, l'ID de session que le client déchiffre avec la clé privée altérée et envoie au serveur révélera si le facteur premier est inférieur ou supérieur à une valeur choisie par l'adversaire.

Cette information permet une recherche binaire du facteur premier, avec une comparaison par tentative de connexion du client, permettant à au cybercriminel de récupérer la clé privée RSA après 1023 connexions du client. En utilisant la cryptanalyse en treillis, le nombre de tentatives de connexion requises pour l'attaque peut être réduit à 512.

Les chercheurs ont présenté des correctifs pour les failles qu'ils ont identifiées, mais on ne sait pas si Mega les suivra. Pour l'instant, les chercheurs affirment que les modifications apportées par Mega bloquent l'attaque spécifique de récupération de clés qu'ils ont conçue, mais ils restent convaincus que la faille démontre que les assurances de Mega sont exagérées.

Source : Research Team

Et vous ?

Quel est votre avis sur le sujet ?

Cette démonstration est elle pertinente ?

Voir aussi :

Les attaquants de ransomware n'ont désormais besoin que de trois jours après l'accès initial pour mener l'attaque, une diminution massive de 94 % de la durée de mise en oeuvre par rapport à 2019

47 % des responsables de la sécurité ne pensent pas qu'ils seront victimes d'une intrusion, malgré la sophistication et la fréquence croissantes des attaques, selon Illumio

45 % des entreprises ont subi une violation de données dans le cloud ou un échec d'audit au cours des 12 derniers mois, soit une hausse de 5 % par rapport à l'année précédente, d'après Thales