|Écrit de Louis Viratelle.
Merci pour la participation de Bastien Gares et de Mathis Archambaud.
Publié le 14 août 2022.
|Écrit de Louis Viratelle.
Merci pour la participation de Bastien Gares et de Mathis Archambaud.
Publié le 14 août 2022.
Mega revendique comme principal argument de vente pour son service de cloud le chiffrement en bout en bout des données. Cela signifie qu’un modèle mathématique rend tous les fichiers que vous importez sur les serveurs de l’entreprise théoriquement totalement illisibles, même si la sécurité physique pour accéder aux serveurs était compromise. Il existe plusieurs systèmes de chiffrement de données, regroupés sous le terme « cryptographie ». La finalité de tous les chiffrements de bout en bout est assez souvent similaire : pour qu’une donnée soit lisible, il faut lui appliquer un traitement algorithmique et des calculs mathématiques. Un des termes de ces calculs n’est rien d’autre que le mot de passe que vous utilisez pour (dans le cas majoritaire commun à Mega) vous connecter à votre compte. Sans ce mot de passe, les données obtenues une fois le traitement effectué demeureront toujours illisibles.
Le rapport des chercheurs ont montré certaines limites de la structure cryptographique mise en place par Mega pour tenir les fichiers stockés illisibles sans le mot de passe (et sans les clés de chiffrement déduites).
La première version du papier exprime que la faille exploitée nécessite que l’utilisateur cible se soit authentifié sur la plateforme manuellement via son mot de passe au moins 512 fois. Une mise à jour du papier via des travaux annexes rend la faille fonctionnelle après seulement 6 authentifications manuelles sur la plateforme.
Pour mieux saisir ce que permet concrètement les failles, il faut comprendre que le mot de passe utilisateur permet de déduire deux clés de chiffrement principales. La première permet de s’authentifier et d’établir les communications avec le serveur, la seconde permet le chiffrement et déchiffrement des données depuis les interfaces client.
La faille remet en cause le système de vérification des informations données. Lorsqu’une clé invalide est transmise aux serveurs, ce dernier ne se contente pas de rejeter la situation. Son comportement permet d’interagir avec le serveur pour à terme arriver à déduire la clé correcte (pour simplifier grossièrement la situation). L’étude explique que « l’ID de session que le client déchiffre avec la clé privée usurpée […] révèlera si le nombre premier [utilisé dans le mécanisme mathématique de chiffrement] est inférieur ou supérieur à la valeur choisie » (traduit de l’Anglais). Cette indication réduit mathématiquement le nombre de solutions potentielles qui contient les informations de connexion correctes.
Finalement au-delà de 6 connexions, il devient possible de récupérer la clé RSA utilisée pour déchiffrer les autres clés.
Avec la possession de ces clés, il devient possible de réaliser d’autres attaques. Un fournisseur d’accès à internet pourrait être en mesure de déchiffrer toutes les données y compris les fichiers stockés sur Mega.
Mais vous l’aurez compris, la faille ne fait sens que lorsque les données qui transitent entre les serveurs et l’utilisateur ont été interceptées. L’entité la plus capable théoriquement d’en faire autant est votre fournisseur internet. Il reste cependant difficilement imaginable dans une situation ordinaire qu’un opérateur en arrive à de tels pratiques (en plus de maitriser la faille découverte) qui n’auraient pour finalité que de mettre en très grosse difficulté l’entreprise.
Au-delà de l’accès aux données, il deviendrait possible en exploitant ces failles d’envoyer sur les serveurs Mega des fichiers sans laisser une quelconque trace de la manière par laquelle l’opération a été effectuée. De ce fait ce fichier devient indiscernable des autres, comme s’il avait été envoyé via le compte de l’utilisateur.
La faille principale de déduction des clés permettrait aussi de mettre en place une attaque Bleichenbacher, qui aurait pour finalité le déchiffrage des données entre le serveur et le client.
Face à la situation, Mega a réagit. Dans les jours suivants, plusieurs correctifs informatiques ont été appliqués sur le service pour rendre infonctionnel les failles publiées, du moins la principale qui doit être réalisée pour rendre les autres possibles. Mathias Ortmann, architecte en chef chez Mega indique dans le communiqué avoir pris connaissance du travail des chercheurs et de leurs recommandations pour remédier à la situation.
Pour autant il notifie que l’entreprise a choisi une « manière pragmatique » pour fixer la situation. Cela sous entend en fait que l’entreprise ne souhaite pas réviser d’une manière aussi fondamentale le fonctionnement cryptographique de Mega. En effet revoir de fond en comble son fonctionnement nécessiterait de déchiffrer et chiffrer de nouveau (selon la nouvelle méthode) l’entièreté des données stockées sur les serveurs Mega, soit plus de 100 Po de données. Cela occuperait totalement la bande passante et la puissance de calcul des serveurs pendant six mois… une situation donc difficilement envisageable.
Au lieu de cela elle préfère complexifier encore davantage la structure actuelle pour combler les failles. Mais bien que la principale et quelques unes d’autres ne soient plus présentes, les chercheurs indiquent que la stratégie employée pourrait générer encore d’autres failles supplémentaires au lieu de résoudre le défaut en profondeur.
Mega note aussi la complexité des failles révélées. C’est d’ailleurs une information loin d’être anecdotique, elle permet de constater que des points plus élémentaires (et donc des failles moins techniques à être exploitées) témoignent d’une meilleure robustesse. Les failles détectées nécessiteraient d’intercepter la bande passante d’un utilisateur, durant son bref transite qui ne s’effectue qu’à un unique instant T précis. Elle pourrait donc s’appliquer qu’à un petit nombre de personnes, en utilisant d’autres types de failles : les communications avec les serveurs sont protégées, normalement inaccessibles et gérées entre autres par les opérateurs télécom. Il faudrait que les opérateurs eux même aient un comportement malveillant envers leurs clients, ce qui comme précisé précédemment, semble difficilement concevable pour une situation ordinaire.
Les chercheurs ajouteront dans leur papier que « les attaques présentées ici montrent qu’il est possible pour un groupe motivé de trouver et d’exploiter des vulnérabilités dans les architectures cryptographiques du monde réel, avec des résultats dévastateurs pour la sécurité ». Ils ajoutent qu’il demeure « particulièrement inquiétant de constater que des services comme MEGA, qui font de la protection de la vie privée l’une de leurs principales caractéristiques et qui attirent donc particulièrement les utilisateurs ayant besoin d’une protection forte, ne résistent pas à la cryptanalyse… » (traduit de l’Anglais).
Une conclusion donc assez déconcertante et qui contraste largement avec les « tests » de cloud que l’on peut retrouver sur Internet. Ces tests semblent fonder leur avis sur la sécurité des plateformes uniquement par l’intermédiaire des promesses ventées par les différents cloud eux même, sans investigation indépendante sérieuse.
Il reste surement à nuancer l’avis des chercheurs, notamment face à la réaction du service Mega, qui joue la carte de la transparence en ayant commenté la situation rapidement et directement depuis une publication sur son site. Elle explique avec un certain niveau de précision ses choix et reste ouverte aux questions posées par certains experts.
La complexité des failles limite leur portée. Elles ne s’adressent qu’à une part d’individus experts. Ils devraient à priori mettre en œuvre beaucoup d’efforts pour obtenir un résultat, en plus de devoir très surement s’appuyer sur des failles de sécurité annexes au service Mega en lui-même. Les failles publiées ne peuvent impacter universellement tous les utilisateurs ou même une majorité. Elles ne s’appliquent que sur une cible très restreinte d’utilisateurs.
Kim Schmitz, alias Kim Dotcom avait de son coté commenté la situation sur Twitter. Malgré son intonation très négative et détonante, le fondateur de Megaupload (et du projet de cloud Mega qui suivra, même s’il est aujourd’hui totalement indépendant de l’entreprise) semble tenir des propos axés et loin d’être neutre. La situation juridique et politique conflictuelle dans laquelle ses entreprises l’ont mené n’aide en aucun cas à croire en la factualité de ses propos. Mais il s’agit là encore d’une autre histoire…