Commentaires : Le chiffrement du Cloud MEGA mis à mal par des chercheurs

Un certain type d’attaque permet de briser le chiffrement du service cloud MEGA. Les pirates peuvent ainsi accéder aux fichiers en clair et en télécharger de nouveaux dans l’espace personnel de l’utilisateur.

1 « J'aime »

Amusant ou effrayant. L’un ou l’autre… :no_mouth:

« Une fois la clé RSA subtilisée » + « des conditions bien précises pour être mise en pratique » : ça fait quand même beaucoup.

1 « J'aime »

Conditions qui peuvent être réunies par l’état hébergeant la société :slight_smile:
Etat qui est copain avec qui ? :slight_smile:

@bennukem : Suivant « l’Etat » ou les accords avec le pays d’un quelconque requérant, c’est du full access direct. Même pas besoin de hack quoi que ce soit :joy: .

A ce compte-là, qui propose le meilleur compromis espace de stockage / sécurité ? J’ai un espace sur Mega, après être resté de nombreuses années sur Dropbox, et comme tout le monde et son cousin, j’ai aussi un espace sur Gmail / Google Drive / Google One / Whatever et sur mes comptes Microsoft, mais je ne les utilise jamais.

Je ne mets rien sur mes espaces dans le cloud à part quelques CV et des photos (rien de compromettant…), plus un peu de musique à laquelle je veux accéder de n’importe où sans avoir à la stocker sur mon téléphone.

C’est plutôt pour les entreprises que le problème se pose, je trouve. L’idée de créer un « cloud souverain » a été annoncée par notre Leader Maximo il y a quelques temps, mais autant émettre cette idée est chose aisée, autant passer à la réalisation est plus complexe…

A partir du moment où l’on confie ses données à un tiers, quel qu’il soit, on prend un risque, de toute façon.

@ChoucrouteGarnie

A partir du moment où l’on confie ses données à un tiers, quel qu’il soit, on prend un risque, de toute façon.

A partir du moment où l’on confie ses données à un tiers, on accepte d’en perdre la maitrise. Tout simplement :slight_smile:

@ChoucrouteGarnie
@clockover

Rien de tout cela ! Il suffit de passer par le logiciel Arqbackup (ou équivalent, je n’ai rien à vendre), qui permet de chiffrer et d’envoyer les données sur n’importe quel cloud (Google Archive, Idrive e2, Filebase, etc.) de son choix. Les données sont sécurisées avant de quitter le PC.

Je l’utilise depuis des années avec des chiffrements forts et ainsi, pas de souci, même si les données sont interceptées ou le compte piraté, elles restent inutilisables.

Cerise sur le gâteau, les données peuvent être rendues immutables, permettant ainsi de garder de vraies archives incorruptibles.

1 « J'aime »

Et quand on envoie un fichier crypté, le pirate arrive t il à décrypter ce fichier crypté ?

@Max

En principe non, si l’on choisit un mot de passe fort tel que
lihgg(/&=&uhésoijhdZZZINAsaàce52eq78rveKHZGFw78revéli6387c3687,
au hasard.
Il faudrait probablement un ordinateur quantique pour craquer un tel chiffrement… pour quel résultat ?

La difficultés de déchiffrement n’est pas vraiment le soucis pour les grands groupes de Cloud :).

Les données sont toujours mutables ^^.

Bref oui cela complexifie les choses mais vous acceptez tout de même d’en perdre la maitrise.

@clockover
Je ne vois pas concrètement ce que vous voulez dire. Combien de supercalculateurs faudrait-il pour déchiffrer les données de n’importe qui sur le cloud, avec des mots de passe bien forts (celui que j’ai donné en exemple demanderait des milliers d’années, certes peut-être quelques années avec des supercalculateurs) ? Quel intérêt réel ? J’ose espérer que les supercalculateurs sont réservés à de meilleures applications (astronomie, sciences, etc.).

Les données sont immutables en cas d’attaque. Si le compte est compromis par un attaquant, il ne peut pas fermer ce compte tant que le délai imparti à l’avance n’est pas respecté : par exmple, si voius décidez que vos données doivent être immutables durant 1 an, vous ne pourrez pas les effacer avant.

J’ai testé l’immutabilité de Google Archive en tentant d’effacer des fichiers immutables, au hasard : cela ne marche pas. La solution semble assez solide. En tout cas certainement plus que sur les clouds traditionneles tels que Mega, Dropbox, etc., dont on ne sait jamais comment est géré le chiffrement, si il y en a…

Avec Arqbackup (ou similaire), le fait de dissocier le logiciel de chiffrement et le stockage rendent la solution plus sûre.

Le mot de passe n’est qu’un facteur.

Si l’application ou le chiffrement sont mal conçus, la longueur du mot de passe n’importe plus. Ca c’est déjà vu.

Concernant le « supercalculateur », Google, Amazon et co ont des milliers de serveurs et ils ne les laissent pas se tourner les pouces quand la charge est basse.

Il y aussi la variable temps.
Une protection d’aujourd’hui est désuète demain. Vous pensez vraiment que quand vous effacez qq chose, ce quelque chose disparait réellement de ces plateformes ?
Perso, j’ai plus que des doutes vu à quelle point ces boites sont des vampires à données.
Elles préfèrent stocker un max quitte pour rien car elles savent qu’à l’avenir elles trouveront peut-être un usage à celles-ci.

Je ne dis pas que votre solution est nulle.
Je dis juste qu’elle comporte un risque et que vous acceptez de perdre la maitrise de vos données. Risque mesuré certes.

@clockover

Sur le fait que rien n’est 100% sûr, je suis entièrement d’accord.

Pour le reste, le stockage a un coût malgré tout, même pour une société de la taille des GAFAM. Si il fallait réellement stocker les To de données de chaque utilisateur, même ceux qui ont « effacé » leurs données, le coût serait démesuré, et cela en vaudrait-il la chandelle ?

Pour aller plus loin dans le chiffrement, on peut aussi zipper des données protégées par mot de passe, puis les envoyer chiffrées avec un autre logiciel sur le cloud, tout en ayant pris soin de chiffrer le bucket de stockage. Cela commence à être sérieux…

Cependant, je ne vais pas jusque-là avec mes données, qui, je crois, ne seraient d’aucun intérêt pour un Etat. La lecture de mes emails leur donnerait bien plus d’informations pour un effort bien moindre, voire quasi nul puisque je me doute bien que les messageries sont trouées de backdoors.

Après, on revient toujours à la bonne vieille guéguerre entre le backup local et sur le cloud ; le backup local n’est de loin pas une solution pérenne et inattaquable (je ne reviendrai pas sur les arguments, tout le monde ici les connaît).

1 « J'aime »

Ce n’est pas une gueguerre, il y a des avantages, inconvénients dans les deux cas.