• # Oubli

    Posté par . En réponse au journal Mega reprend le flambeau.. Évalué à 5.

    Voilà ce qui est dit dans leur page "Sécurité & Protection" avec une faute à phishing en plus:

    Comment fonctionne le cryptage?
    Tous les cryptages sont de bout en bout. Les données téléchargées sont cryptées sur le dispositif de téléchargement avant qu'il ne soit envoyé à l'Internet, et les données téléchargées sont décryptées seulement après qu'ils soient arrivés sur le dispositif de téléchargement. Les machines clientes sont responsables de produire, d'échanger et de gérer les clés de chiffrement. Ne pas laisser les clés de chiffrements sur les ordinateurs clients (à l'exception des clés publiques RSA).

    Toutes mes informations personnelles sont sujet au cryptage?
    Non. Seulement les données du fichier et les noms des fichiers/dossiers sont cryptés. Les informations pour un accès opérationnel, telles que votre adresse e-mail, l'adresse IP, la structure du dossier, les propriétés des fichiers et des informations d'identification de paiement, sont stockées et traitées en clair. Veuillez voir notre politique de confidentialité pour plus de détails.

    Mes données stockées sont-elle complètement sécurisées?
    Toute sécurité est relative. Les vecteurs d'attaques suivantes existent - ils ne sont pas spécifiques à MEGA, mais nous voulons vous faire connaître les risques:
    Les comptes individuels sont mis en péril par:
    - Logiciels espions sur votre ordinateur. Un keylogger simple est suffisant, mais les informations d'identification de session et les touches peuvent également être extraites de la mémoire ou le système de fichiers.
    - Par dessus l'épaule. Ne tapez pas votre mot de passe pendant que quelqu'un pourrait regarder vos frappes au clavier.
    - Brute Force. Utilisez des mots de passe forts.
    - Phising. Toujours confirmer la sécurité de vos statuts de connexion (https://) et le nom du domaine correct (mega.co.nz) avant d'entrer votre mot de passe.
    Des attaques à grande échelle peut être montées :
    - Une attaque "Man in the middle". Nécessite la délivrance d'un duplicata du certificat SSL valide en combinaison avec le système de forgeage DNS et / ou attaques sur nos routes BGP (un scénario de style DigiNotar).
    - L'accès au serveur web d'hébergement https://mega.co.nz/index.html et remplacer ce fichier par une version forgée (cela n'affecterait pas accès par application de la base installée). Notez que la manipulation de contenu sur notre contenu CDN statique ne pose pas de risque pour la sécurité, comme tout le contenu actif chargé à partir index.html est soumis à vérification dans une table de hachage cryptographique (considérez-le comme une sorte de "démarrage sécurisé" pour les sites web). Ce type d'attaque nécessite l'envoi du code malveillant sur le client et est donc détectable
    - L'accès à notre serveur d'infrastructure principal et de créer de fausses demandes d'actions existantes. Ce type d'attaque ne touche que les données dans les dossiers partagés et est ainsi détectable sur le côté client.

    Que faire si je ne vous crois pas ? Suis-je toujours en sécurité en utilisant MEGA?
    Si vous ne croyez pas en nous, vous ne pouvez exécuter aucun code que nous fournissons, pour l'ouverture de notre site dans votre navigateur et en entrant votre mot de passe est hors limites. Si vous voulez continuer à utiliser MEGA, vous devez le faire par le biais d'une application client qui a été écrit par une personne dont vous avez confiance.

    Est-ce que les données que je mets dans les dossiers de partage sont autant sécurisés que mes autres données ?
    Les dossiers partagés, par nature, sont aussi sûr que le membre le moins sécurisé. Cependant, un dommage sur notre infrastructure serveur principal constitue un risque supplémentaire: Les clés publiques peuvent être manipulés, et les requêtes de clés peuvent être fabriqués.

    Supposons qu'un nœud de stockage MEGA est endommagé physiquement. Quels sont les risques?
    Messages d'erreur après la manipulation de fichiers téléchargement. Même si l'attaquant avait la clé de cryptage d'un fichier donné sur ce nœud, il ne pourrait toujours pas le remplacer par un faux sans provoquer l'échec des téléchargements.

    Est-ce une bonne idée de placer toutes mes données à la même place ?
    Garder toujours une copie des fichiers importants, en ligne et hors ligne. Bien que nous gardons chaque fichier à deux endroits différents, il n'existe aucune garantie contre de multiples défaillances simultanées et frappes répétées du gouvernement.

    Pourquoi devrais-je confier mes données, de toutes les personnes, à vous?
    Nous fournissons des cryptages commandés par l'utilisateur (CCU) où vous, l'utilisateur, contrôle les clés. Les implémentations CCU sont open source, et nous invitons et encourageons la communauté d'examiner et de formuler des commentaires. Nous croyons que cette approche est plus sûr que de stocker vos données cryptés coté serveur où votre FAI contrôle des clés ou, pire encore, aucun cryptage du tout, par exemple, les fichiers des utilisateurs de Mega seraient soudainement accessible sans mot de passe dû à une erreur de programmation, ils seraient illisibles sans les clés de décryptage contrôlées par l'utilisateur.

    J'ai remarqué que vous utilisez le protocole HTTPS pour le transfert de données de fichiers déjà chiffrés. N'est-ce pas redondant?
    C'est le cas. Malheureusement, plusieurs navigateurs établissent des connexions non sécurisées à partir d'une page sécurisée, et qui pourrait être blâmer pour cela - ils ne peuvent pas être conscient du fait qu'il existe une autre couche de cryptage déjà en marche. Parce que l'HTTPS a un effet négatif sur les performances, nous vous permettons de le désactiver sur les navigateurs qui le permettent (Internet Explorer ne fonctionne pas) pour accélérer vos transferts sans mettre en péril la confidentialité ou l'intégrité de vos données. Vous verrez apparaitre un avertissement SSL sur votre premier fichier transféré sur certains navigateurs - dans ce (et uniquement dans ce) cas, il est mieux de l'ignorer.

    Quels sont les algorithmes de cryptage interne utilise MEGA ?
    Pour les transferts en vrac, AES-128 ( nous croyons que la haute utilisation du CPU AES-192 et AES-256 l'emporte sur l'intérêt de la sécurité théorique, du moins jusqu'à l'avènement des ordinateurs quantiques).
    L'intégration de la vérification de l'après-téléchargement se fait à travers une variation du CCM, ce qui est moi efficace que l'OCB, mais pas encombré par des brevets.
    Pour établir des partages secrets entre les utilisateurs et glisser les fichiers dans votre boite de réception, RSA-2048 (la longueur de clé a été choisie comme motif intermédiaires entre "trop dangereux" et "trop lent").
    Tous les cryptages, décryptages et la génération de clés est mise en œuvre en Javascript, ce qui limite le débit à quelques MB/s et provoque une charge importante du CPU. Nous attendons avec impatience la mise en œuvre du projet de l'API HTML5 WebCrypto dans tous les principaux navigateurs, ce qui permettra d'éliminer ce goulet d'étranglement.
    Le générateur de nombres aléatoire Javascript est augmenté par un réservoir timing-driven RC4 souris/clavier.