Aurich Lawson | Getty Images
Au cours de la décennie qui s’est écoulée depuis la création de Dotcom Mega, le personnage plus grand que nature, Kim, le service de stockage en nuage a amassé 250 millions d’utilisateurs enregistrés et stocké 120 milliards de fichiers occupant de l’espace. plus de 1 000 pétaoctets de stockage. Un argument de vente clé qui a contribué à la croissance est une promesse extraordinaire qu’aucun concurrent Mega de premier plan ne fait : même Mega ne peut pas déchiffrer les données qu’il stocke.
Par exemple, sur la page d’accueil de l’entreprise, Mega présente une image comparant ses offres à Dropbox et Google Drive. En plus des prix plus bas de Mega, la comparaison souligne que Mega offre un cryptage de bout en bout, contrairement aux deux autres.
Au fil des ans, l’entreprise n’a cessé de rappeler au monde ce cible Distinction, qui est peut-être mieux résumé dans cet article de blog. Dans ce document, la société affirme : « Tant que vous vous assurez que votre mot de passe est suffisamment fort et unique, personne ne pourra jamais accéder à vos données sur MEGA. Même dans le cas extrêmement improbable, toute l’infrastructure de MEGA sera confisquée !» (nous soulignons).
Les examinateurs tiers n’étaient que trop heureux d’être d’accord, citant la méga réclamation lors de la recommandation du service.
Une décennie d’assurances démenties
Une étude publiée mardi montre que l’affirmation selon laquelle Mega ou une société qui contrôle l’infrastructure de Mega ne peut pas accéder aux données stockées sur le service est fausse. Les auteurs disent que l’architecture que Mega utilise pour chiffrer les fichiers est truffée de failles cryptographiques de base qui rendent trivial pour quiconque contrôle la plate-forme de lancer une attaque de récupération de clé complète sur les utilisateurs une fois qu’ils se sont connectés assez souvent. Cela permet à l’attaquant de déchiffrer les fichiers stockés ou même de télécharger des fichiers incriminants ou autrement malveillants sur un compte ; Ces fichiers sont indiscernables des données réelles téléchargées.
« Nous démontrons que le système de MEGA ne parvient pas à protéger ses utilisateurs contre un serveur malveillant et présentons cinq attaques distinctes qui, ensemble, permettent de compromettre complètement la confidentialité des fichiers des utilisateurs », ont écrit les chercheurs sur un site Web. « Cela brise également l’intégrité des données utilisateur en ce sens qu’un attaquant peut injecter des fichiers malveillants de son choix qui passent toutes les vérifications d’authenticité du client. Nous avons créé des versions de preuve de concept de toutes les attaques pour démontrer leur caractère pratique et leur exploitabilité. »
Après que Mega ait reçu en privé le rapport des chercheurs en mars, Mega a commencé à publier mardi une mise à jour qui rend les attaques plus difficiles à mener. Cependant, les chercheurs avertissent que le correctif ne fournit qu’un moyen « ad hoc » de déjouer leur attaque de récupération de clé et ne résout pas le problème de réutilisation de clé, les contrôles d’intégrité manquants et d’autres problèmes systémiques qu’ils ont identifiés. L’attaque de récupération de clé précise des chercheurs n’étant plus possible, les autres exploits décrits dans l’enquête ne sont plus possibles non plus, mais l’absence de solution complète les inquiète.
« Cela signifie que si les conditions préalables aux autres attaques sont remplies d’une autre manière, elles peuvent toujours être exploitées », écrivent les chercheurs dans un e-mail. « En tant que tel, nous ne prenons pas en charge ce correctif, mais le système ne sera plus vulnérable à la chaîne exacte d’attaques que nous avons proposée. »
Mega a publié un avis ici. Cependant, le président du service dit qu’il n’a pas l’intention de réviser les promesses selon lesquelles l’entreprise ne peut pas accéder aux données des clients.
« Pendant une courte période, un attaquant a eu la possibilité de nier notre engagement dans des circonstances très limitées et pour très peu d’utilisateurs, mais cela a maintenant été rectifié », a écrit le président Stephen Hall dans un e-mail.
Le message Mega indique qu’il ne peut pas décrypter vos fichiers. Un nouvel exploit POC montre que quelque chose de différent est apparu en premier sur Germanic News.