Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

MEGA : le service fonctionne, l’équipe répond aux critiques sur le chiffrement

Rassurés ?

MEGA : le service fonctionne, l'équipe répond aux critiques sur le chiffrement

Le 23 janvier 2013 à 08h00

Après plusieurs jours de galère, les serveurs de MEGA (voir notre dossier), le service de stockage en ligne de Kim Dotcom et de son équipe, semble enfin tenir le coup. Dans le même temps, un billet a été publié sur le blog officiel afin de donner quelques réponses pour ce qui est de la sécurité et des procédures de chiffrement utilisées.

Depuis hier soir, il semble désormais possible d'uploader et de télécharger via MEGA sans trop de problèmes. Les erreurs précédemment rencontrées ne sont plus de mise selon nos essais et les débits sont plutôt bons, même si ceux-ci demandent parfois quelques minutes avant d'atteindre leur plein potentiel. 

MEGA : les serveurs tiennent enfin la charge, les débits sont au rendez-vous

Nous avons effectué de nouveaux tests depuis une machine virtuelle hébergée sur Azure, sous Windows Server 2012. La mise en ligne d'une ISO d'Ubuntu 12.10 (763 Mo) aura demandé 5 minutes et 28 secondes, soit un débit moyen de 2,3 Mo/s :

 

MEGA Débits Azure

 

Du côté du téléchargement, c'est un peu plus du double puisqu'il aura fallu 2 min et 21 secondes pour arriver au bout de notre fichier, soit un débit moyen de 5,4 Mo/s. Cela devrait donc être suffisant pour la majorité des utilisateurs dotés d'une ligne ADSL, fibre et autres. Reste à savoir si cela tiendra le choc dans la durée.

 

MEGA Débits Azure

 

Comme promis, l'équipe est aussi revenue sur le chiffrement et l'analyse qui en a été faite par certains de nos confrères. Ars Technica et Forbes étant plus spécifiquement visée par les réponses fournies. On y apprendra quelques détails intéressants, comme le fait que le mot de passe pourra être modifié ou réinitialisé.

Le mot de passe pourra être changé ou réinitialisé

En effet, actuellement, ce dernier est utilisé pour créer des empreintes (hash) qui servent de base à certaines clefs de chiffrement comme la master key qui protège les données confidentielles de l'ensemble du compte. Actuellement, il est impossible de le changer pour éviter tout problème, ce qui a été largement critiqué. En effet, comme nous l'indiquions dans notre dossier, que faire si ce mot de passe est découvert ? Que faire si l'on souhaite le renforcer ?

 

En cas de changement, la master key sera donc chiffrée à nouveau puis réenvoyée sur les serveurs de MEGA. Dans le cas de la réinitialisation, qui rend forcément vos données illisibles (c'est tout le principe du chiffrement) vous pourrez vous connecter à nouveau à votre compte et vous pourrez tenter de récupérer spécifiquement certains fichiers dont vous connaissez la clef AES (utilisée pour la publication d'un lien).

 

Tant que vous n'aurez pas le mot de passe original, rien d'autre ne sera possible, mais vous pourrez à nouveau uploader des fichiers.

L'entropie de la paire de clef RSA 2048 bits pourra être renforcée

Concernant le niveau d'entropie de la paire de clef RSA 2048 bits utilisée lors des échanges d'utilisateur à utilisateur, les développeurs indiquent que si l'utilisation de la fonctionnalité Math.random() dans la procédure est effectivement insuffisante pour de la cryptographie, le clavier et la souris sont utilisés pour l'améliorer.

 

Néanmoins, ils promettent une fonctionnalité permettant à l'utilisateur d'ajouter manuellement de l'entropie comme il le souhaite avant de débuter la génération de la paire de clef. Certains demandaient que la bibliothèque OpenPGP.js (dédiée à ce genre d'usage, exploitant la NPAPI) soit utilisée, reste à voir ce qu'il en sera dans la pratique, d'autant plus qu'elle ne fonctionne pas sous Firefox pour le moment par exemple.

 

 Nuage Sécurité MEGA

 

Car s'il y a bien un reproche que l'on ne peut pas faire à l'équipe de MEGA, c'est bien celle d'avoir dissimulé les choses. Kim Dotcom avait d'ailleurs indiqué que le code de la partie chiffrement était librement consultable (même si tout le reste est propriétaire et donc non vérifiable) et c'est effectivement le cas puisque tout est effectué côté client, via du Javascript. De plus, le code n'a été ni compilé, ni minifié, ce qui a permis les différentes analyses effectuées ces derniers jours.

La déduplication n'est bien utilisée que dans certains cas précis

Autre point qui avait été largement critiqué : la possibilité que se réserve MEGA de supprimer des doublons au sein de votre compte. Comment procéder si les fichiers sont chiffrés, puisqu'ils sont alors impossibles à identifier ? Si l'on a eu droit à plusieurs théories sur le sujet, l'équipe précise que cette fonctionnalité n'est pour le moment pas active (à l'exception de l'option permettant d'éviter l'upload de doublons côté client).

 

Il est indiqué que toute l'analyse se fera après le chiffrement, côté serveur. Ainsi, si un fichier est mis en ligne deux fois, avec la même clef AES-128 (aléatoire), une seule copie sera gardée. De la même manière, si un fichier est copié d'un dossier dans un autre, le compte ne disposera physiquement d'une seule version, qui apparaitra néanmoins plusieurs fois dans l'arborescence de l'utilisateur.

 

De plus, les MAC (Message Authentication Code) permettant d'authentifier la validité des blocs de données seront bien stockés sur les serveurs de MEGA à terme, mais eux aussi seront chiffrés.

La question des certificats SSL évoquée

On apprendra aussi que l'ensemble des serveurs dispose d'un certificat SSL exploitant une clef de chiffrement sur 2048 bits, à l'exception des « statiques » qui contiennent les fichiers et se contentent d'une clef sur 1024 bits. MEGA explique que cette procédure est redondante de son point de vue mais que les navigateurs n'aiment pas accéder à du contenu HTTP non sécurisé dans une page HTTPS (une erreur est alors souvent affichée). 

 

Ces serveurs se contentent donc d'un chiffrement moins fort afin de les satisfaire, sans imposer une charge CPU supplémentaire. L'intégrité du contenu est pour sa part vérifiée via le code Javascript, qui est, lui, chargé depuis les serveurs qui profitent du SSL chiffré via la clef 2048 bits. Cela permet en outre au service d'exploiter de nombreux serveurs « statiques » situés dans différentes zones géographiques.

 

MEGA partage fichier

 

Pour ce qui est de la possibilité pour un attaquant ayant cassé le SSL d'accéder à vos données, l'équipe répond ironiquement « si vous êtes capables de casser du SSL, vous pouvez faire des choses bien plus intéressantes qu'accéder à des données stockées sur MEGA ».

Vous n'avez pas confiance en MEGA ? Utilisez l'API ou un autre client

Quant à ceux qui soulèvent la possibilité éventuelle pour le site de désactiver le chiffrement côté serveur sans l'indiquer à l'utilisateur, MEGA a une réponse simple : ils peuvent toujours exploiter d'autres clients basés sur l'API mise à disposition. Il sera alors possible de vérifier que le fichier récupéré ou envoyé a bien été chiffré, comme cela était expliqué dans la FAQ.

 

Le point de départ était d'ailleurs en partie faux puisque, si l'interface de MEGA « cache » la plupart des étapes à l'utilisateur afin de rendre l'utilisation du chiffrement plus digeste, ce n'est par exemple pas le cas pendant la procédure de téléchargement. Le fichier est en effet récupéré chiffré dans l'espace filesystem sous Chrome, puis ensuite déchiffré via une procédure interne.

MEGA : la phase d'évolution commence, pendant ce temps, gare à votre mot de passe !

Pour le cas de MegaCracker, que nous évoquions hier, il est selon les équipes du site « un excellent rappel qu'il ne faut pas utiliser un mot de passe simple à deviner, ou pouvant être contenu dans un dictionnaire, spécialement si ce mot de passe est utilisé pour la Master key de chiffrement de toutes vos données stockées sur MEGA ».

 

MegaCracker

 

Reste maintenant à voir si le site va évoluer sur ces différents points afin que les spécialistes de la question puissent le soumettre de nouveau à des tests plus ou moins poussés. Il sera aussi intéressant de voir si des clients open source seront aussi mis en place afin de permettre à la communauté d'exploiter MEGA tout en ayant un réel moyen de s'assurer du bon chiffrement des données.

 

Kim Dotcom a d'ailleurs annoncé qu'un challenge serait proposé afin de permettre à ceux qui découvrent des failles de repartir avec une somme rondelette. Les détails n'ont pour le moment pas été donnés.

 

 

Sachez enfin que nous avons mis notre dossier sur MEGA à jour afin de tenir compte de ces changements.

Commentaires (72)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







David_L a écrit :



Hormis le fait que ça installe des saloperies sur la machine à l’installation ça ne fonctionne qu’à la demande en étant pas compatible EncFS. Du coup, autant utiliser le couple EncFS / BoxCryptor





Je plussois.



Mon dieu, il y a encore des gens qui utilisent AxCrypt…


votre avatar







Zimt a écrit :



C’est une application Saas, donc pas de maitrise : ça fait une belle jambe si la clé en clair qui a servit à générer la master key et stockée à part, par le fournisseur du service.

Quand au changement de la MK, c’est juste une question de déchiffrement/chiffrement sur le serveur distant, qui fait donc transiter vote nouveau mot de passe.



Bref, il y a beaucoup d’abus sur le terme ‘sécurisé” ces dernières années, c’est étrange.



Excusez moi, en terme de faisabilités d’exploitation, je pense savoir de quoi je parle.

Bref, la meilleur solution pour ce type de service, reste le chiffrement offline avant envoie.







Mais moi aussi, ex-consultant sécurité inside <img data-src=" />


votre avatar







pti_pingu a écrit :



Mais moi aussi, ex-consultant sécurité inside <img data-src=" />





<img data-src=" />


votre avatar







Zimt a écrit :



<img data-src=" />







Kanpai <img data-src=" />


votre avatar

Welcome Back Mega <img data-src=" />



<img data-src=" /> sur les débits en utilisateur gratuit.



Vivement de Synology mette le profil mega dans la download station <img data-src=" />

votre avatar







David_L a écrit :



Hormis le fait que ça installe des saloperies sur la machine à l’installation ça ne fonctionne qu’à la demande en étant pas compatible EncFS. Du coup, autant utiliser le couple EncFS / BoxCryptor





AxCrypt installes des saloperies ? Je voudrais en savoir plus par contre <img data-src=" />


votre avatar







Zulgrib a écrit :



AxCrypt installes des saloperies ? Je voudrais en savoir plus par contre <img data-src=" />





Il fout une barre dans le navigateur (dans Chrome il passe par une install via la base de registre sans confirmation qui sera limitée dans la version 25 qui est actuellement dans le canal bêta)


votre avatar







David_L a écrit :



Il fout une barre dans le navigateur (dans Chrome il passe par une install via la base de registre sans confirmation qui sera limitée dans la version 25 qui est actuellement dans le canal bêta)







Mais y a pas une case à décocher lors de l’install, pour qu’il s’installe proprement et tout seul ?


votre avatar







Freud a écrit :



Mais y a pas une case à décocher lors de l’install, pour qu’il s’installe proprement et tout seul ?





Si (le truc installé est aléatoire même apparemment). Mais entre ça, la demande de mail, la demande de participation au programme d’amélioration…. ça commence à faire too much à mon goût ;)



(Puis la procédure d’installation de la barre via la BdR franchement…)


votre avatar







hellmut a écrit :



dropbox connait ta clé de chiffrement =&gt; ils peuvent déchiffrer tes fichiers.





Et alors ?



Si on veut vraiment chiffrer nos fichiers, on peut le faire nous même… Ce n’est pas un argument valable :o


votre avatar







Edtech a écrit :



Pour le moment, je n’ai pas encore reçu le mail de validation malgré une inscription il y a deux jours, donc pas pu tester <img data-src=" />





Tu as vérifier dans ta boite de SPAM.

Moi, c’est là qu’il était. D’ailleurs PCi l’a mentionné dans leur dossier


votre avatar







DUNplus a écrit :



C’est sur! Y’a un jour ou deux, dans les news 1945 de M6, le présentateur a annoncé le grand retour du service de téléchargement illégal de Kim Dotcom !

Toussa toussa soutenue par un journaliste spécialiser de clubic.

<img data-src=" />







clubic <img data-src=" />


votre avatar







Florent_ATo a écrit :



clubic <img data-src=" />





I know… I know… <img data-src=" />


votre avatar







Cacao a écrit :



Et alors ?



Si on veut vraiment chiffrer nos fichiers, on peut le faire nous même… Ce n’est pas un argument valable :o





<img data-src=" />

tu demandes quelle est la différence, je te la donne, après t’en fais ce que tu veux.



non mais lol, quoi. <img data-src=" />


votre avatar







Edtech a écrit :



Jamais eu ce problème. 4 disques de 3To montés en Storage Space de 50To avec parité. A chaque formatage, il retrouve bien le disque. D’ailleurs, petite copie de 26Gio hier du stockage vers le SSD à 240Mio/s ! <img data-src=" />







Vu que c’est hors sujet, t’ai répondu par MP <img data-src=" />


votre avatar

Franchement, je suis surpris des débits. que ce soit en UP ou DL, ils sont très bon.

ça change d’Hubic (DSL, pour eux, bien que j’aime bien le service)

votre avatar







sydbarrett55 a écrit :



Tu as vérifier dans ta boite de SPAM.

Moi, c’est là qu’il était. D’ailleurs PCi l’a mentionné dans leur dossier







Rien dans les spams, j’ai vérifié.


votre avatar







WilliamSauron a écrit :



Ta master key (de type RSA) est privée et le reste. Chaque fichier est chiffré avec une clé (type AES) unique, générée à la volée, non stockée telle quelle sur le serveur (le client est capable de la recalculer via ta clé RSA privée et des métadonnées stockées sur Mega, je passe les détails). Si tu donnes un lien à quelqu’un, il contient la clé unique déchiffrée (qui pourra donc se retrouver dans la nature) mais ta master key ne sera pas dévoilée. Donc seul le fichier que tu as partagé pourra être déchiffré.







merci c’est plus clair maintenant :)


votre avatar

Mega beta <img data-src=" />

votre avatar

Ne fonctionne pas chez moi sur 2 inscriptions. Je ne vais pas installer Chrome juste pour ce service quand même…









Bande de rigolos ! <img data-src=" />

votre avatar







David_L a écrit :



Pas forcément. Si on a des listes de liens contenant les clefs, les noms de fichier… les AD feront une notice et ça sera supprimé (ça a déjà été le cas apparemment d’ailleurs).





Non, je ne parle pas du “notice & stay down”, mais du “notice & keep down”. Mega est incapable de vérifier de manière “préventive” si un contenu viole les droit d’auteur ou pas car de toute façon, il ne sais pas du tout ce qu’il héberge. De plus, de toute façon, le contenu est considérable comme contenu à porté restreint au cadre privé tant que le lien+la clé ne sont pas diffusé.


votre avatar

AxCrypt ceux qui se plaignent du chiffrement…

votre avatar







Zulgrib a écrit :



AxCrypt ceux qui se plaignent du chiffrement…





Hormis le fait que ça installe des saloperies sur la machine à l’installation ça ne fonctionne qu’à la demande en étant pas compatible EncFS. Du coup, autant utiliser le couple EncFS / BoxCryptor


votre avatar

C’est marrant mais ca m’attire pas plus que ca MEGA.

votre avatar







pti_pingu a écrit :



Ben oui, mais c’est le principe d’une Master Key chiffré avec la possibilité d’un processus d’évolution en cas de divulgation ou de vol mais cela présuppose un mot de passe qui change (ce qui n’était pas le cas mais semble l’être dans un futur plus ou moins proche).



Mais bon, le Kim il nous fait une PKI avec chiffrement centralisé et décentralisé donc il s’aventure un tantinet hors des chemins battus.





C’est une application Saas, donc pas de maitrise : ça fait une belle jambe si la clé en clair qui a servit à générer la master key et stockée à part, par le fournisseur du service.

Quand au changement de la MK, c’est juste une question de déchiffrement/chiffrement sur le serveur distant, qui fait donc transiter vote nouveau mot de passe.



Bref, il y a beaucoup d’abus sur le terme ‘sécurisé” ces dernières années, c’est étrange.



Excusez moi, en terme de faisabilités d’exploitation, je pense savoir de quoi je parle.

Bref, la meilleur solution pour ce type de service, reste le chiffrement offline avant envoie.


votre avatar







David_L a écrit :



Le serveur était capable de tenir les 20 Mo/s mais comme dit, la montée en débit semble assez progressive et on a pas été capable d’aller au delà (et j’ai pas voulu tester avec un fichier de 20 Go pour voir si on pouvait monter à plus <img data-src=" />). Dans tous les cas, ce sera largement suffisant pour pas mal de monde ;)







Je viens de tester sur un fichier de 700 Mo, je suis à 4 Mo direct en DL (avec fibre, 12.5 Mo/s max), largement suffisant donc.



Par contre, impossible avec la dernière version de FF, Opera non plus, obligé de passer par Chrome et ça je ne veux pas.


votre avatar







tazvld a écrit :



Ils se sont blindé niveau juridique, il ont choisit d’être un hébergeur à part entière, sauf qu’il seront totalement incapable d’appliquer de “keep down” du “notice & keep down” tant convoité des AD.

Ensuite, il reste pragmatique dans leur niveau de sécurité par rapport à l’utilisation qu’il sera fait de leur service,





Pas forcément. Si on a des listes de liens contenant les clefs, les noms de fichier… les AD feront une notice et ça sera supprimé (ça a déjà été le cas apparemment d’ailleurs).


votre avatar

sur l’ancien mega, je faisais du download stable à 10 mo/s, pointe courante à 1213. ça c’était la vie :)



maintenant je suis bloqué à 900 ko/s avec cette tortue de web bloqué de free :(

votre avatar

David, le dernier liens posté renvoie sur une 404.



Je suis un peu frileux sur l’utilisation du service, j’ai voulu créer un compte free et je ne trouve pas clair le contenu d’une offre “free”.



Comme se passe l’échange de fichier par le service ?



Si je veux qu’un membre de ma famille télécharge mes photos de vacances, je dois lui donner le liens + ma masterkey ?

votre avatar

Data chiffrée ou pas, vos clés sont mémorisées…



Vous savez, c’est un des grand drame de l’internet moderne : “ho c’est chiffré, alors c’est sécurisé” <img data-src=" />

Ne soyez pas naïf à ce point.



La stratégie et/ou la qualité d’implémentation est cruciale.

votre avatar







psikobare a écrit :



pourquoi donc, c’est pas comme si tu faisais quelque chose d’illégal





Et bien, si Mamie décide d’y mettre ces films de vacances <img data-src=" />







Tourner.lapache a écrit :



Tu as peur que ce soit le FBI qui ait filé de la thune à Kim Dotcom pour monter MEGA et constituer un annuaire d’IP de trafiquants d’œuvres protégées ? :P







Je fais pas confiance au gros Dotcom, il pourrait bien balancer des ip pour sauver sa peau ^^



Enfin bon pour l’instant y a rien dessus encore et les boards le déconseille fortement <img data-src=" />


votre avatar







tazvld a écrit :



Ils se sont blindé niveau juridique, il ont choisit d’être un hébergeur à part entière, sauf qu’il seront totalement incapable d’appliquer de “keep down” du “notice & keep down” tant convoité des AD.

Ensuite, il reste pragmatique dans leur niveau de sécurité par rapport à l’utilisation qu’il sera fait de leur service,







Ben si, il fermeront un compte signaler si, et uniquement si, l’AD apporte la preuve d’un usage illicite et qu’il y a des données sous copyright, cela étant possible soit en espionnant la source, soit en piquant le password + inspection du compte (partant du fait normalement qu’il est impossible de sniffer le transit ou de lire un contenu stocké sans les décryptés).



Alors, sauf à être au Waziristan du Nord (ça fait longtemps que je voulais le placer celui là <img data-src=" />), l’infiltration sur un ordi particulier ou la collecte de clé et l’accès sur un compte online n’est possible que par procédure judiciaire ad-hoc (que ce soit ici ou au US). Autrement dis, m’étonnerais (au moins) que les AD Français joue à ça (sauf si Kevin se vante sur son Skyblog -ça existe encore???- de partager des film de pétanque sur son compte Mega <img data-src=" />)


votre avatar







Pogny a écrit :



David, le dernier liens posté renvoie sur une 404.



Je suis un peu frileux sur l’utilisation du service, j’ai voulu créer un compte free et je ne trouve pas clair le contenu d’une offre “free”.



Comme se passe l’échange de fichier par le service ?



Si je veux qu’un membre de ma famille télécharge mes photos de vacances, je dois lui donner le liens + ma masterkey ?







Toi aussi tu as une grande famille?? <img data-src=" />


votre avatar







pti_pingu a écrit :



Toi aussi tu as une grande famille?? <img data-src=" />







ben oui et j’ai plein de film de vacance à leur envoyer.



Pas vous ? c’est bien le principe du partage de fichier cryptés sur le cloud non ?


votre avatar

Toujours pas essayé, ce qui ne me ressemble guère… J’sais pas, j’le sens pas l’nouveau Mega, comme une mauvaise impression, présentiment.









Edtech a écrit :



J’ai passé la soirée d’hier à changer de CPU et réinstaller Windows (oui, changer de CPU provoque des reboot en boucle si on est en Secure Boot sous Windows 8 !). Je n’ai donc pas eu le temps de m’en occuper… Je regarde ce soir !







Tu n’es certainement pas au bout de tes (mauvaises) surprises avec les bidouilles matérielles impliquant Windows 8, il m’a fait un coup fumant hier.


votre avatar







Zimt a écrit :



Data chiffrée ou pas, vos clés sont mémorisées…



Vous savez, c’est un des grand drame de l’internet moderne : “ho c’est chiffré, alors c’est sécurisé” <img data-src=" />

Ne soyez pas naïf à ce point.



La stratégie et/ou la qualité d’implémentation est cruciale.







Ben oui, mais c’est le principe d’une Master Key chiffré avec la possibilité d’un processus d’évolution en cas de divulgation ou de vol mais cela présuppose un mot de passe qui change (ce qui n’était pas le cas mais semble l’être dans un futur plus ou moins proche).



Mais bon, le Kim il nous fait une PKI avec chiffrement centralisé et décentralisé donc il s’aventure un tantinet hors des chemins battus.


votre avatar







Pogny a écrit :



ben oui et j’ai plein de film de vacance à leur envoyer.



Pas vous ? c’est bien le principe du partage de fichier cryptés sur le cloud non ?







Comme ça plus besoin de faire chi…plaisirs à tata Janine, elle peut direct mater mes tribulations à Palavas-les-flots sans se farcir la soirée diapo annuelle <img data-src=" />


votre avatar







Pogny a écrit :



ben oui et j’ai plein de film de vacance à leur envoyer.



Pas vous ? c’est bien le principe du partage de fichier cryptés sur le cloud non ?







C’est pas limité à 8 membres de ta famille qui DL en simultanés ? (du moins en version free)



votre avatar







Tourner.lapache a écrit :



Tu as peur que ce soit le FBI qui ait filé de la thune à Kim Dotcom pour monter MEGA et constituer un annuaire d’IP de trafiquants d’œuvres protégées ? :P





C’est sur! Y’a un jour ou deux, dans les news 1945 de M6, le présentateur a annoncé le grand retour du service de téléchargement illégal de Kim Dotcom !

Toussa toussa soutenue par un journaliste spécialiser de clubic.

<img data-src=" />


votre avatar

Stocker des fichiers personnels plus ou moins sensibles chez un type arrêté en 1994 pour avoir vendu des cartes de crédit contrefaites ..moi ca me branche pas plus que ça sur la morale du bonhomme..

votre avatar







Pogny a écrit :



Pas vous ? c’est bien le principe du partage de fichier cryptés sur le cloud non ?[quote:4427198:Zimt]Data chiffrée ou pas, vos clés sont mémorisées…



Vous savez, c’est un des grand drame de l’internet moderne : “ho c’est chiffré, alors c’est sécurisé” <img data-src=" />

Ne soyez pas naïf à ce point.



La stratégie et/ou la qualité d’implémentation est cruciale.





Et tu proposes quoi comme stratégie pour un outil du genre ? Apprendre les clefs par coeur, demander à l’utilisateur de les stocker, des les avoir toujours sur lui pour accéder à ses fichiers et en assurer la sécurité ?



Je doute que ce soit mieux ;)



[/quote]

Pas vraiment non, mais bon, ceux qui pensent que c’est le cas vont rapidement apprendre à faire la différence entre chiffrement et anonymat.



De toutes façons, même avec l’IP, les données étant chiffrées, à moins d’avoir publié les liens de manière publique avec la clef AES, je ne vois pas ce qu’il pourrait y avoir à craindre.


votre avatar

Pour le moment, je n’ai pas encore reçu le mail de validation malgré une inscription il y a deux jours, donc pas pu tester <img data-src=" />

votre avatar

Je suis loin d’être un pro dans le domaine de la sécurisation mais avec tout ce que se prend Mega dans la gueule il sera bientôt plus sécurisé que le Pentagone <img data-src=" />

votre avatar







Cacahuete586 a écrit :



Je suis loin d’être un pro dans le domaine de la sécurisation mais avec tout ce que se prend Mega dans la gueule il sera bientôt plus sécurisé que le Pentagone <img data-src=" />





Avec une Webapp et du JS ? J’ai comme un doute <img data-src=" />







Edtech a écrit :



Pour le moment, je n’ai pas encore reçu le mail de validation malgré une inscription il y a deux jours, donc pas pu tester <img data-src=" />





T’as redemandé un mail / utilisé une autre adresse (hotmail ?)


votre avatar

Ah enfin le retour d’un hebergeur avec des debit correct en free <img data-src=" />



Après j’aimerai bien savoir s’il y a un risque qu’on chope ou balance nos ip?


votre avatar







David_L a écrit :



T’as redemandé un mail / utilisé une autre adresse (hotmail ?)







J’ai passé la soirée d’hier à changer de CPU et réinstaller Windows (oui, changer de CPU provoque des reboot en boucle si on est en Secure Boot sous Windows 8 !). Je n’ai donc pas eu le temps de m’en occuper… Je regarde ce soir !


votre avatar







Wype a écrit :



Après j’aimerai bien savoir s’il y a un risque qu’on chope ou balance nos ip?





pourquoi donc, c’est pas comme si tu faisais quelque chose d’illégal









oh pardon, si, megaupload est entièrement destiné au téléchargement illégal, donc, oui, bien évidemment, tu risques des conséquences


votre avatar







Wype a écrit :



Après j’aimerai bien savoir s’il y a un risque qu’on chope ou balance nos ip?







Tu as peur que ce soit le FBI qui ait filé de la thune à Kim Dotcom pour monter MEGA et constituer un annuaire d’IP de trafiquants d’œuvres protégées ? :P


votre avatar







Wype a écrit :



Ah enfin le retour d’un hebergeur avec des debit correct en free <img data-src=" />



Après j’aimerai bien savoir s’il y a un risque qu’on chope ou balance nos ip?





Tes ips sont stockées, il y a donc un risque. Après tu peux choisir de la masquer via un VPN.


votre avatar



puisqu’il aura fallut de 2 min et 21 secondes





Moi je trouve ça rapide par rapport à mes débits de téléchargement en général donc en ce qui me concerne c’est plus que suffisant.

votre avatar

Les débit de malade sur les screens <img data-src=" />



Vous avez trop de chance <img data-src=" />



Enfin mega fonctionne, je trouve que les problèmes technique ont été quand même rapidemment résolu <img data-src=" />

votre avatar







loulou206 a écrit :



Les débit de malade sur les screens <img data-src=" />

Vous avez trop de chance <img data-src=" />





C’est fait à partir de leur serveur, AMHA.

Moi je trouve les débits plutôt faibles, si c’est vraiment le cas.


votre avatar

Impossible de s’en servir avec Opera, l’upload bug.



Avec Firefox ça fonctionne.

votre avatar







Drepanocytose a écrit :



C’est fait à partir de leur serveur, AMHA.

Moi je trouve les débits plutôt faibles, si c’est vraiment le cas.





Le serveur était capable de tenir les 20 Mo/s mais comme dit, la montée en débit semble assez progressive et on a pas été capable d’aller au delà (et j’ai pas voulu tester avec un fichier de 20 Go pour voir si on pouvait monter à plus <img data-src=" />). Dans tous les cas, ce sera largement suffisant pour pas mal de monde ;)


votre avatar

Hier soir impossible de DL avec mega, le téléchargement indique 100% mais impossible de trouver le fichier sur l’ordi. Avec Firefox, je précise

votre avatar







Wype a écrit :



Ah enfin le retour d’un hebergeur avec des debit correct en free <img data-src=" />



Après j’aimerai bien savoir s’il y a un risque qu’on chope ou balance nos ip?





Ils se sont blindé niveau juridique, il ont choisit d’être un hébergeur à part entière, sauf qu’il seront totalement incapable d’appliquer de “keep down” du “notice & keep down” tant convoité des AD.

Ensuite, il reste pragmatique dans leur niveau de sécurité par rapport à l’utilisation qu’il sera fait de leur service,


votre avatar

Perso j’ai testé pour la première fois ce matin avec un fichier de 2Go. Sous chrome (que j’avais d’installé sur l’ordinateur mais que je n’utilise pas habituellement).

Avec fibre optique 1.2 Mo/s en upload, loin de mon max mais debit jamais vu pour un service gratuit.

Download à 6Mo/s donc encore loin de mon max mais divinement bien pour ce genre de service. Et j’imagine que ça va encore s’améliorer au cours des semaines.

Par contre à la fin erreur lors du décryptage donc fichier inutilisable… je n’ai pas retesté par la suite.

En tout cas enfin un service gratuit fonctionnel (ou presque) pour envoyer des gros fichiers à la famille sans avoir à garder l’ordinateur allumé ou de serveur privé !

votre avatar

Où sont stockées les clefs générées pour les upload de fichiers ? Au sein du navigateur ? Il y a moyen d’en faire des sauvegardes ?

votre avatar







psikobare a écrit :



oh pardon, si, megaupload est entièrement destiné au téléchargement illégal







l’ISO d’Ubuntu 12.10 de PCI est donc illégale ?


votre avatar

Je reçoit pas le mail sur mon adresse hotmail?

votre avatar

Je n’arrive toujours pas à comprendre cet engouement pour MEGA. Qu’apporte t’il de plus que les autres n’apportent pas ? Quel est son intérêt face à un Dropbox-like avec synchronisation automatique des fichiers ?



<img data-src=" />

votre avatar







Cacao a écrit :



Je n’arrive toujours pas à comprendre cet engouement pour MEGA. Qu’apporte t’il de plus que les autres n’apportent pas ? Quel est son intérêt face à un Dropbox-like avec synchronisation automatique des fichiers ?



<img data-src=" />





Il apporte le cryptage! :pataper:


votre avatar







Nerdebeu a écrit :



Tu n’es certainement pas au bout de tes (mauvaises) surprises avec les bidouilles matérielles impliquant Windows 8, il m’a fait un coup fumant hier.







Ça ne m’a pas choqué. Vu que le boot est optimisé pour un démarrage très rapide (4 secondes UEFI inclus chez moi), il est normal que l’amorçage plante si tu touches au matériel. De toutes façons, j’avais prévu de formater !


votre avatar



On apprendra aussi que l’ensemble des serveurs dispose d’un certificat SSL exploitant une clef de chiffrement sur 2048 bits, à l’exception des « statiques » qui contiennent les fichiers.





Non, ce n’est pas ce qui est expliqué. Il est expliqué que mega.co.nz dispose d’un certificat avec une clé RSA de 2048 bits, et les serveurs de contenu statique disposent d’un certificat avec une clé RSA de 1024 bits “seulement”.





MEGA explique que cette procédure est redondante de son point de vue (les fichiers étant déjà chiffrés) mais que les navigateurs n’aiment pas accéder à du contenu HTTP non sécurisé dans une page HTTPS (une erreur est alors souvent affichée). Ces serveurs se contentent donc d’un chiffrement 1024 bits afin de les satisfaire, sans imposer une charge CPU supplémentaire.





Inexact, il est expliqué que du point de vue de MEGA, une clé RSA 1024 bits n’est pas suffisante au niveau de la sécurité, et que c’est pour cela que du code javascript chargé depuis le serveur principal (donc avec clé de 2048 bits) vérifie l’intégrité de tout ce qui est chargé depuis les autres serveurs. Du coup, ils auraient pu se passer complètement de HTTPS pour les serveurs secondaires, mais comme ça génère des messages de warning dans les navigateurs, ils ont choisi d’utiliser une clé RSA 1024 bits pour éviter ça, tout en ayant un surplus de charge CPU acceptable.

votre avatar

Il va apporter du tipiakage de masse très facilement ^^



Après je sauvegarderai des données importantes dessus vu les ombres du fbi qui plane dessus , pour le perso je garde mon SkyDrive


votre avatar

*sauvegarderai jamais



( peut pas édit depuis le mobile )

votre avatar

Pour la déduplication, j’ajouterai les précisions suivantes : mega explique que si un même fichier est uploadé plusieurs fois et que la clé AES-128 générée aléatoirement est identique à un upload précédent, alors il y aura déduplication.



Les chances que cela arrives sont extrêmement minces (1 sur 2^128, soit 1 sur 340000000000000000000000000000000000000), mega explique donc que ce cas est prévu mais n’arrivera pour ainsi dire jamais.



Le cas le plus courant de déduplication sera effectivement la copie de fichiers à travers le file manager : du coup, dans ce cas là, une seule copie du fichier est gardée, et la même clé AES est du coup utilisée pour toutes les copies. Donc, dans le cas d’une copie entre différent comptes d’utilisateurs, j’imagine que la clé AES est simplement re-chiffrée avec la master-key du nouvel utilisateur.



Bref, effectivement, mega a bien répondu aux doutes que j’avais :)

votre avatar







Edtech a écrit :



Ça ne m’a pas choqué. Vu que le boot est optimisé pour un démarrage très rapide (4 secondes UEFI inclus chez moi), il est normal que l’amorçage plante si tu touches au matériel. De toutes façons, j’avais prévu de formater !







Fais surtout gaffe qu’ils reconnaisse tes disques, autres que système… Même le lendemain <img data-src=" />


votre avatar







Pogny a écrit :



David, le dernier liens posté renvoie sur une 404.



Je suis un peu frileux sur l’utilisation du service, j’ai voulu créer un compte free et je ne trouve pas clair le contenu d’une offre “free”.



Comme se passe l’échange de fichier par le service ?



Si je veux qu’un membre de ma famille télécharge mes photos de vacances, je dois lui donner le liens + ma masterkey ?







Ta master key (de type RSA) est privée et le reste. Chaque fichier est chiffré avec une clé (type AES) unique, générée à la volée, non stockée telle quelle sur le serveur (le client est capable de la recalculer via ta clé RSA privée et des métadonnées stockées sur Mega, je passe les détails). Si tu donnes un lien à quelqu’un, il contient la clé unique déchiffrée (qui pourra donc se retrouver dans la nature) mais ta master key ne sera pas dévoilée. Donc seul le fichier que tu as partagé pourra être déchiffré.



votre avatar







Cacao a écrit :



Je n’arrive toujours pas à comprendre cet engouement pour MEGA. Qu’apporte t’il de plus que les autres n’apportent pas ? Quel est son intérêt face à un Dropbox-like avec synchronisation automatique des fichiers ?



<img data-src=" />





dropbox connait ta clé de chiffrement =&gt; ils peuvent déchiffrer tes fichiers.


votre avatar







Nerdebeu a écrit :



Fais surtout gaffe qu’ils reconnaisse tes disques, autres que système… Même le lendemain <img data-src=" />







Jamais eu ce problème. 4 disques de 3To montés en Storage Space de 50To avec parité. A chaque formatage, il retrouve bien le disque. D’ailleurs, petite copie de 26Gio hier du stockage vers le SSD à 240Mio/s ! <img data-src=" />


votre avatar

Quelqu’un peut m’expliquer comment le téléchargement fonctionne ?



C’est cool de voir le téléchargement débuter, de voir une bonne vitesse, mais de constater qu’aucun fichier n’est récupéré, c’est LOL <img data-src=" />



(ah je viens de voir que ça ne fonctionne pas avec Safari évidemment)

MEGA : le service fonctionne, l’équipe répond aux critiques sur le chiffrement

  • MEGA : les serveurs tiennent enfin la charge, les débits sont au rendez-vous

Fermer