MEGA : inviolable, mais pas infaillible ! |
• 11 Février 2013 à 20h31 • 13178 vues
Non, Dotcom ne postule pas pour The Voice, bien qu'il ait un grand caquet......D'ailleurs lors du lancement de MEGA, il avait insisté sur le caractère inviolable de son cryptage. Il a créé un concours du hacker où les plus éminents peuvent de leur propre chef tenter de débourrouner le système mis en place. Si personne n'a cracké en "brute-force", ce n'est pas pour autant qu'il ne s'est rien passé. En fait il y a eu 7 failles trouvées au final.
Dotcom a classé MEGA selon 6 niveaux de sécurité, 1 étant le plus fastoche et 6 le plus dangereux, une sorte de game-over pour lui. Les vulnérabilités découvertes vont de 1 à 4, et concernent un peu tout, principalement le XSS appelé également Cross-Site Scripting. Elles sont répertoriées ci-dessous :
Class V and VI vulnerabilities:
- None reported
Class IV vulnerabilities:
- Invalid application of CBC-MAC as a secure hash to integrity-check active content loaded from the distributed static content cluster. Mitigating factors: No static content servers had been operating in untrusted data centres at that time, thus no elevated exploitability relative to the root servers, apart from a man-in-the-middle risk due to the use of a 1024 bit SSL key on the static content servers. Fixed within hours.
Class III vulnerabilities:
- XSS through file and folder names. Mitigating factors: None. Fixed within hours.
- XSS on the file download page. Mitigating factors: Chrome not vulnerable. Fixed within hours.
- XSS in a third-party component (ZeroClipboard.swf). Mitigating factors: None. Fixed within hours.
Class II vulnerabilities:
- XSS through strings passed from the API server to the download page (through three different vectors), the account page and the link export functionality. Mitigating factors – apart from the need to control an API server or successfully mounting a man-in-the-middle attack –: None. Fixed within hours.
Class I vulnerabilities:
- HTTP Strict Transport Security header was missing. Fixed. Also, mega.co.nz and *.api.mega.co.nz will be HSTS-preloaded in Chrome.
- X-Frame-Options header was missing, causing a clickjacking/UI redressing risk. Fixed.
Une partie a déjà été colmatée, mais Dotcom insiste bien sur le caractère inviolable de sa clé de cryptage. Pour autant il n'est pas infaillible, et c'est bien dans cette optique que les hackers peuvent continuer à trouver des failles pour 10 000$ pièce, ce qui bien entendu permet d'être plus efficace que des sociétés auditrices qui coûtent plus cher, et qui sont plus lentes. Quant à trouver des failles de niveau 5 et 6, Dotcom recommande aux hackers de revenir dans 1 milliard d'années ! (Source PCWorld)
 | Un poil avant ?2 dates importantes pour Unigine | Un peu plus tard ...Dead Space 3 passe sa visite médicale chez Techspot | |
