Jump to content
Sparo47

Mégaupload fermé ! + représailles…

Recommended Posts

Article absolument insupportable. La moitié de ce qu'il raconte pue le je-me-la-pète-auprès-du-public-qui-n'y-comprend-rien.

Il dit que c'est mal d'utiliser LocalStorage, et il a tort. J'aurai aimé plus de détails sur le XSS, seule info intéressante.

La fonction de chiffrement qu'il montre s'appelle benchmark()… bref, c'est pas la fonction utilisée sur les fichiers.

Il a tort sur l'entropie aussi, il semble qu'ils utilisent les mouvements de clavier/souris et c'est une des meilleures sources.

On peut éventuellement retenir le problème habituel de faire ça dans un navigateur, soit que le site peut désactiver le chiffrement sans que l'utilisateur vérifie ; c'est pour ça qu'il vaut mieux un logiciel dédié ou une extension du navigateur.

Share this post


Link to post
Share on other sites

Article absolument insupportable. La moitié de ce qu'il raconte pue le je-me-la-pète-auprès-du-public-qui-n'y-comprend-rien.

 

Merci d'avoir précisé, vu que je n'ai pas compris le quart de ce qu'il a écrit.

Share this post


Link to post
Share on other sites

Un commentaire :

N’oubliez pas une chose, la sécurité du site ne sert pas à proteger l’utilisateur mais bien MEGA. Tant qu’ils n’ont pas connaissance du contenu ils sont protegé contre les demandes Notice & Staydown. Après que la clef soit 1024/2048 on s’en fou.

Ça, c'est évident. Il ne s'agit pas de protéger ses données sensibles (le chiffrement en local avant d'envoyer le fichier reste imbattable), mais d'aider MEGA à dire qu'ils ne savent pas ce qui est chez eux.

Share this post


Link to post
Share on other sites

(le chiffrement en local avant d'envoyer le fichier reste imbattable)

C'est peut-être pas imbattable, mais c'est surtout la seule façon sérieuse de le faire.

Share this post


Link to post
Share on other sites

Critique par un des membres de la team fail0verflow (qui a réussi à hacker des consoles de jeux dont la Playstation 3) :

 

 

 

"I thought MEGA's sales pitch was pretty good. And then I saw their Javascript hashing code. Oh, the hilarity."
"They're using a broken variant of CBC-MAC to authenticate their Javascript. Except CBC-MAC isn't a hash. The key is public, so it's a joke."
"CBC-MAC only works as a MAC, not as a hash function. You can replace all of their JS, do a trivial subtract, and make it "hash" the same."
"They also make other mistakes, like not authenticating the length and just concatenating the various files, so other attacks are possible."

https://twitter.com/marcan42

Share this post


Link to post
Share on other sites

Critique par un des membres de la team fail0verflow (qui a réussi à hacker des consoles de jeux dont la Playstation 3) :

 

 

 

https://twitter.com/marcan42

 

 

Je suis pas bien sur de pourquoi et comment mega authentifie le javascript, mais je vois pas bien quel impact ça aurait concrètement (https assure deja l’intégrité du javascript).

Pour l’instant il me semble que les nombreuses critiques sur la crypto sont toutes un peu débiles.

 

La seule qui me semble valide c'est que mega contrôle le javascript qu'il envoie, et donc a moins de le vérifier a chaque fois on fait confiance a mega sur le fait qu'il envoie toujours le même.

Mais c'est le principe du browser qui veut ça, hushmail.com avait exactement le même probleme. Il faudrait un plugin firefox qui prévienne quand le javascript d'une page a changé par rapport a la dernière visite.

Share this post


Link to post
Share on other sites

Même avis que jubal.

Pour le "crack" du mot de passe, il faut avoir accès à l'e-mail de confirmation, c'est pas comme si un autre service était vraiment plus protégé que ça.

Share this post


Link to post
Share on other sites

Ben en fait si, ça à l'air assez moyen : http://bluetouff.com/2013/01/22/et-maintenant-le-mega-crack/

 

En gros ça dit qu'avec le mot de passe tu peux décrypter les fichiers qui ont été encrypté avec ...

Tout ce que fait le "MegaCracker" c'est d'essayer une liste de mot de passe qu'on lui donne.

 

Donc oui quand on encrypte avec "toto" comme mot de passe c'est pas secure, et ce quel que soit le programme utilisé. Avec un mot de passe correct megacracker il trouve rien du tout.

Faudrait voir combien de crack/sec megacracker peut faire, mais même avec 100 milliards de crack/sec un bon password est incraquable.

Share this post


Link to post
Share on other sites

En gros ça dit qu'avec le mot de passe tu peux décrypter les fichiers qui ont été encrypté avec ...

Tout ce que fait le "MegaCracker" c'est d'essayer une liste de mot de passe qu'on lui donne.

 

Donc oui quand on encrypte avec "toto" comme mot de passe c'est pas secure, et ce quel que soit le programme utilisé. Avec un mot de passe correct megacracker il trouve rien du tout.

 

Ca dit surtout que le mot de passe qui ne peut pas être changé est automatiquement envoyé via un protocole non sécurisé.

Ok il y a pire mais ça laisse présager du reste.

Share this post


Link to post
Share on other sites

Ca dit surtout que le mot de passe qui ne peut pas être changé est automatiquement envoyé via un protocole non sécurisé.

Ok il y a pire mais ça laisse présager du reste.

 

Il n'est pas envoyé en clair, il est encrypté dans le lien de confirmation.

Qu'on puisse decrypter le fichier quand on essaye avec le bon password, ça me semble inévitable.

 

Bon ils pourraient éviter d’envoyer la master key encryptée via email c'est sur, mais a première vu je dirais que les bloggeurs s'excitent beaucoup pour pas grand chose.

 

 

Share this post


Link to post
Share on other sites

Il n'est pas envoyé en clair, il est encrypté dans le lien de confirmation.

Qu'on puisse decrypter le fichier quand on essaye avec le bon password, ça me semble inévitable.

 

Au temps pour moi tu as raison, j'ai lu trop vite ! 

Share this post


Link to post
Share on other sites

a première vu je dirais que les bloggeurs s'excitent beaucoup pour pas grand chose.

 

Voilà, c'est une tempête dans un verre d'eau. Le but n'est pas d'avoir un stockage ultra-turbo-sécurisé de toute façon.

Share this post


Link to post
Share on other sites

Du point de vue de méga non, mais je pense qu'ils jouent sur les mots volontairement pour laisser penser qu'ils seront inattaquables, ce que certains gogos avaient pu croire.

Maintenant forcément ces gens là sont déçus, mais effectivement c'est en une communication entre mega et des bloggeurs soit disant compétant là dedans.

Share this post


Link to post
Share on other sites

Rien n'est inattaquable, mais a priori personne ne peut lire les fichiers qu'on upload sur mega sauf cas spécifique. Je pense par exemple a:

- Être une personne ciblée personnellement par mega (qui prendrait le risque de nous envoyer du javascript backdoore), ou par une personne ayant hacke mega, ou ayant acces a notre ISP et au SSL certificate de mega (le FBI etc.)

- Avoir un keylogger sur son ordinateur qui recupererait le mot de passe, ou bien laisser son ordinateur allumé sans surveillance avec le mot de passe en RAM (attaque via PCMCIA, firewire, ou même USB (sisi)).

 

Il y a aussi le probleme que si on connait deja le contenu d'un fichier on peut le reconnaitre sans avoir besoin de la clé. Enfin je pense, sinon je ne vois pas comment ils peuvent faire de la de-duplication.

 

Mais de ce que j'en ai lu pour l'instant la plupart des critiques c'est du vent. Comme c'est de l'open source le mieux c'est d'attendre quelques mois que les gens intelligents audit le truc.

 

Share this post


Link to post
Share on other sites

Le fond du problème est même pas technique, il est dans l'usage que les gens auront de mega.

Si c'est un enième dropbox c'est sans intérêt et c'est pas le but de Dotcom.

Le but c'est le partage de fichier protégé par le droit d'auteur. Ce que les gens attendent, c'est un youtube  sans qu'aucun fichier ne disparaisse et qui poutre en débit.

Or je ne comprend pas à quoi va servir le chiffrage dans ce cas là. Ok Mega ne saura pas a priori que les fichier violent un copyright, mais ils recevront des takedown notice comme youtube et devront les appliquer.

 

Car les gens partageront leur fichier via des pages web comme maintenant sur des forum dédiés crawlées par Google et là je ne vois pas la différence fondamentale avec un site comme netload ou rapidshare. Leur seule chance c'est de planquer les serveur dans des pays inaccessibles à la police américaine. Après si les gens préfèrent mega à dropbox, la belle affaire, la gueguerre elle est entre la MPAA et les pirates. Si les gens qui utilisent mega ne pirate rien, la MPAA va pouvoir s'endormir tranquille.

 

Le reste c'est un concours de geek qui s'amuse c'est tout, un tout piti bruit anodin.

Share this post


Link to post
Share on other sites

Les détenteurs de droits intellectuels ne pourront plus reprocher à Mega de ne pas faire de filtrage automatique. Ils devront aussi faire partie des communautés qui partagent ces liens, car Mega ne peut pas techniquement leur donner un accès aux données. Je ne sais pas si c'est quelque chose qui est en place ailleurs (la seconde partie serait sacrément horrible niveau vie privée), ou qui a été demandé ; mais comme YouTube en est déjà pas loin ce ne serait pas trop étonnant.

À noter que le nouveau Mega sous-traite son stockage, ce qui est une grosse différence, invisible aux utilisateurs, mais pas à Mega.

Ce n'est certainement pas la solution ultime mais c'est une amélioration par rapport aux hébergeurs de fichiers traditionnels tout en restant relativement "user friendly" (parce que sinon, je connais des solutions dix fois meilleures mais elles requièrent un investissement en compétences, en temps, et en matériel).

Share this post


Link to post
Share on other sites

Les détenteurs de droits intellectuels ne pourront plus reprocher à Mega de ne pas faire de filtrage automatique. Ils devront aussi faire partie des communautés qui partagent ces liens

 

Pour le coup je suis sûr que ça leur pose aucun problème, les communautés en question pour autant qu'elles aient un forum publique où il suffit de soumettre quelque lien pour avoir accès au reste du contenu. Dans les fait ce sera aussi dur aux ayant droits d'y rentrer qu'au reste des gens qui ne sont pas déjà impliqués dans des communautés actives.

Bref dans le cas des communautés ouvertes, ce sera comme avec youtube, dans l'autre les gens normaux n'y auront pas accès donc la MPAA aura gagné atteint son objectif.

Share this post


Link to post
Share on other sites

Ou via disquette 5"1/4, c'est encore pire!

 

:lol:

Ah oui tient c'est vrai que ça existe plus ça, j'avais pas réalisé ...

Je garde encore des cartes PCMCIA wifi dans mon tiroir au cas ou ça me serait utile un jour, le temps passe si vite :o

Share this post


Link to post
Share on other sites

J'en ai une de carte PCMCIA qui traine dans un carton, y'a marqué "hühessbeh m'a tuer" dessus en lettres de sang

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...