Une fausse promesse. Mega promettait un espace de stockage en ligne de 50 Go, gratuit et sécurisé. "Ultra-sécurisé", Mega devait permettre au successeur de Megaupload d'éviter toute menace juridique, notamment vis-à-vis des autorités américaines. Mais depuis le lancement samedi, plusieurs failles ont été mises en lumière. "Finalement, tout cela n'est qu'artifice. Mega est une véritable usine à gaz qui n'a pour but que de dédouaner Kim Dotcom. La sécurité, c'est le dernier de ses soucis", affirme le blogueur et expert en sécurité Didier Laurelli, alias @Bluetouff.
>>> Europe1.fr détaille pourquoi :
> La faille : le mail de confirmation qui en savait trop. Au moment où l'utilisateur crée son compte Mega, il reçoit un mail de confirmation sur lequel il faut cliquer pour valider définitivement son inscription. Ce message comprend un code unique, une forme de mot de passe propre à chaque utilisateur. Il ne s'agit pas du mot de passe pour accéder à son compte, mais du mécanisme permettant de générer un accès privé pour chaque document sur Mega.
L'avis de l'expert : Or "si un internaute est connecté à un réseau WiFi public au moment où il reçoit ce mail, il est relativement facile de le récupérer pour ensuite avoir accès à son compte Mega", explique Didier Laurelli. Deux outils (CrackMega et MegaCracker) ont d'ailleurs déjà été mis en ligne par des internautes dans le but de pirater ce fameux lien de confirmation.
> La faille : le chiffrage des données n'est pas si sûr. Le protocole exploité par Mega pour sécuriser les documents stockés par ses abonnés (SSL pour Secure Sockets Layer) est assez courant sur Internet : c'est le même qui est utilisé par la plupart des banques en ligne. Un protocole qui sécurise la connexion entre les ordinateurs et les serveurs d'un portail en ligne mais qui n'est pas reconnu comme totalement fiable. En 2009, le chercheur en sécurité Moxie Marlinspike a créé un logiciel du nom de SSLstrip qui permet à un utilisateur malintentionné d'intercepter et de couper une connexion SSL. Il peut alors espionner toutes les données de l'utilisateur.
L'avis de l'expert : "La méthode [de piratage] n'a rien de révolutionnaire, elle existe depuis dix ans", affirme Didier Laurelli. "On peut tout à fait envoyer un code malveillant (une forme de virus) au navigateur de la victime en utilisant un simple logiciel" pour contrer ce protocole.
> La faille : des vulnérabilités XSS. Une faille dans la sécurité du site permet de prendre la main sur le navigateur de l'utilisateur : c'est ce qu'on appelle le cross-site scripting (ou XSS). Par exemple, il est relativement facile, à l'aide d'une faille XSS, de détourner une adresse Internet pour renvoyer l'utilisateur sur un portail pour récupérer ces informations en ligne. Mais si Mega comportait bien des failles de ce type, elles ont été corrigées dans l'heure.
L'avis de l'expert : "Ces failles sont assez classiques, mais avec toute la publicité autour de Mega, le site a attiré les regards et donc les hackers", décrypte Jérémy D'Hoinne, directeur technique de NETASQ, une entreprise de sécurité en ligne.
La réponse de Mega. Kim Dotcom en personne s'est excusé pour les problèmes rencontrés par son service. "La publicité mondiale dont a bénéficié le lancement de Mega est tout simplement trop importante à gérer pour notre start-up. Je m'excuse pour la faible qualité de nos services", a-t-il déclaré sur son compte Twitter. Dans un long billet publié sur le blog de Mega, Kim Dotcom reprend les différentes critiques adressées à la sécurité du site. "Si vous pouvez cracker le protocole SSL, il y a des données bien plus intéressantes à exploiter que celles de Mega", se défend-il. Il cite même le logiciel MegaCracker comme "un excellent rappel de ne pas utiliser des mots de passe qui peuvent facilement être devinés".
Quelle alternative à Mega ? De nombreux services de stockage en ligne existent depuis plusieurs années. Ainsi, Dropbox, SkyDrive (Microsoft) ou encore Google Drive ont fait leur preuve en matière de sécurité. Didier Laurelli, lui, conseille plutôt une solution française proposée par l'entreprise OVH, nommée Hubic. Non par patriotisme, mais parce que les services nommés ci-dessus dépendent de la législation américaine, bien plus restrictive sur le partage de données hébergées en ligne.