Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Le retour du #Mega merdier de Kim

C'est donc pil poil un an après le takedown de Megaupload par une opération du FBI que Kim Dotcom vient de lancer Mega. Accessible sur l'url https://mega.co.nz, le site a comme on s'en doutait, rencontré un afflux massif de connexions provoquant des indisponibilités temporaires et surtout des performances d'upload ridicules dues à un uplink très vite saturé.

C'est donc pil poil un an après le takedown de Megaupload par une opération du FBI que Kim Dotcom vient de lancer Mega. Accessible sur l'url https://mega.co.nz, le site a comme on s'en doutait, rencontré un afflux massif de connexions provoquant des indisponibilités temporaires et surtout des performances d'upload ridicules dues à un uplink très vite saturé. La presse, qui était conviée à une preview du site avant son lancement officiel n'a pas tari d'éloges, le site a été bien accueilli, [Gizmodo](gizmodo.fr/2013/01/19/mega-fait-dans-la-mega-securite.html) a même mis en avant le pseudo blindage du site.  Mais voilà, et c'est une habitude avec Kim, il y a aussi une large part d'esbroufe, notamment en matière de sécurité.

Kim Dotcom met en avant un mécanisme de chiffrement contrôlé par l'utilisateur, nous allons voir que ceci n'est que partiellement vrai. Plus gênant, plusieurs vulnérabilités de type XSS, qui couplée à la méthode LocalStorage pouvaient conduire à la compromissions des clés RSA privées des utilisateurs. Ceci a été corrigé dans l'heure par les équipes techniques de Mega.

Plus gênant maintenant. Le mécanisme de chiffrement des utilisateurs peut être désactivé unilatéralement pour un utilisateur par Mega, sans que l'utilisateur n'en soit notifié. Ceci pose un très sérieux problème de confiance. En clair, si vous comptez utiliser ce service...