Crack du système de chiffrement de Mega.co.nz

[Thãd]

Un chercheur en sécurité a trouvé une faille cryptographique dans Mega.co.nz. Faille susceptible de révéler les mots de passe des utilisateurs. Dimanche, Kim DotCom, le fondateur de feu MegaUpload, a lancé son nouveau service Mega.co.nz. Un site avec quelques bugs et failles qui nous laissent penser que le lancement était plus du "marketing" qu'un produit vraiment poussé.

En plus de reprendre une idée qu'exploite les pros du warez depuis des années (multi serveurs, fichiers divisés en morceaux et dispatchés sur les serveurs, chiffrement des contenus, ...), DotCom a encore su faire jouer, ce lundi, sa machine mégalomaniaque lors de son Keynote (quoique, il avait l'air très tendu, peut-être en raison de la présence de ses 3 financiers). Bref, zataz.com avait révélé des pétouilles dans le mot dépasse, les codes sources trop facilement accessibles, un dossier ouvert et un MySQl gentil comme tout. D'autres avait révélé des XSS et un problème possible dans le chiffrement. Cerise sur le gâteau du Kim, un outil vient d'être lancé. Baptisé CrackMega. Mission, cracker le chiffrement mis en place sur Mega.co.nz. A noter qu'une première liste de Megahash a été diffusée.

L'outil sert à "cracker", pirater, le lien envoyé par e-mail, lors de la confirmation de l'inscription à Mega. Pour réussir le tour de passe-passe, il faut cependant intercepter le courrier communiqué par le cloud service de Mega. Folklorique, Mega utilise un navigateur Web pour envoyer des informations de cryptage, cela ouvre ainsi la voie aux pirates (ou aux majors, ndlr zataz.com) pour intercepter les clés SSL en cassant ou en réquisitionnant les serveurs de Mega. Pour rappel, zataz.com vous révélait que certains de ces serveurs sont situés aux États-Unis. Pour finir, les premiers hash ont été mis en ligne… sur Mega !

Source : Zataz