L’un des stockages cloud les plus populaires au monde (s’ouvre dans un nouvel onglet) les fournisseurs de services comportaient plusieurs vulnérabilités graves qui permettaient aux pirates de lire même cryptés (s’ouvre dans un nouvel onglet) fichiers, les chercheurs ont trouvé.
Une équipe de l’ETH Zurich a découvert cinq vulnérabilités sur la plate-forme Mega qui tournent autour du vol et du déchiffrement d’une clé RSA (une clé privée basée sur l’algorithme RSA).
L’équipe a découvert les failles fin mars de cette année et les a signalées à l’entreprise. Bientôt, Mega a publié des correctifs et des atténuations pour certaines des failles, tandis que pour d’autres, les correctifs sont toujours en cours. Les correctifs n’affectent pas l’expérience utilisateur et n’obligent pas les utilisateurs à crypter à nouveau leurs données stockées, a-t-on déclaré. Ils n’ont pas non plus besoin de changer de mot de passe ni de créer de nouvelles clés.
Idéal pour les employés mécontents
Bien que les correctifs ne soient pas disponibles pour tous les défauts, c’est certainement une mauvaise nouvelle, mais la bonne nouvelle est que Mega n’a encore vu personne les exploiter dans la nature. Il n’y a pas de calendrier concret sur la date de publication des correctifs restants.
Dans une explication vidéo de la faille, les chercheurs ont déclaré que l’attaque repose sur la supposition du facteur premier par comparaison, et que l’attaquant aurait besoin d’au moins 512 tentatives de connexion pour violer un point de terminaison. (s’ouvre dans un nouvel onglet). De plus, ils auraient également besoin d’avoir accès aux serveurs de Mega, ce qui signifie que pour les menaces extérieures, les vulnérabilités ne sont pas exactement viables.
Pour les initiés ou les employés mécontents, cependant, c’est une toute autre histoire.
« Voir à quel point des raccourcis de conception cryptographique apparemment inoffensifs pris il y a près d’une décennie se retournent contre trois des esprits les plus brillants du secteur est à la fois effrayant et intellectuellement fascinant », a déclaré Mega dans un communiqué.
« Le seuil d’exploitabilité très élevé, malgré le large éventail de failles cryptographiques identifiées, procure un certain soulagement. »
Une ventilation détaillée de la faille et des contre-mesures de MEGA peut être trouvée sur ce lien (s’ouvre dans un nouvel onglet).
Via : BleepingComputer (s’ouvre dans un nouvel onglet)