L'un des fournisseurs de services de stockage en nuage les plus populaires au monde (Ouvre dans un nouvel onglet) présentait plusieurs vulnérabilités graves qui permettaient aux pirates de lire même des fichiers cryptés (Ouvre dans un nouvel onglet), ont découvert des chercheurs.
Une équipe de l'ETH Zurich a découvert cinq vulnérabilités dans la plateforme Mega qui tournent autour du vol et du déchiffrement d'une clé RSA (une clé privée basée sur l'algorithme RSA).
L'équipe a découvert les défauts à la fin du mois de mars de cette année et les a signalés à l'entreprise. Bientôt, Mega a publié des correctifs et des atténuations pour certains des défauts, tandis que pour d'autres, les correctifs sont toujours en cours. Les correctifs n'affectent pas l'expérience utilisateur ni n'obligent les utilisateurs à rechiffrer leurs données stockées, a-t-il déclaré. Ils n'ont pas non plus besoin de changer de mot de passe ou de créer de nouvelles clés.
Idéal pour les employés insatisfaits.
Bien que les correctifs ne soient pas disponibles pour tous les défauts, c'est définitivement une mauvaise nouvelle, mais la bonne nouvelle est que Mega n'a encore vu personne les exploiter dans la nature. Il n'y a pas de calendrier précis quant à la date de publication des correctifs restants.
Dans une explication vidéo de la faille, les chercheurs ont déclaré que l'attaque est basée sur l'hypothèse du facteur premier en comparaison, et que l'attaquant aurait besoin d'au moins 512 tentatives de connexion pour violer un point de terminaison (ouvre dans un nouvel onglet) . De plus, ils auraient également besoin d'accéder aux serveurs de Mega, ce qui signifie que pour les menaces externes, les vulnérabilités ne sont pas exactement viables.
Cependant, pour les initiés ou les employés mécontents, c'est une toute autre histoire.
"Voir des raccourcis de conception cryptographique apparemment inoffensifs pris il y a près de dix ans se retourner contre trois des esprits les plus brillants de l'industrie est à la fois effrayant et intellectuellement fascinant", a déclaré Mega dans un communiqué.
"Le seuil d'exploitabilité très élevé, malgré le large éventail de vulnérabilités cryptographiques identifiées, apporte un certain soulagement."
Une ventilation détaillée de la faille et des contre-mesures MEGA peut être trouvée sur ce lien (ouvre dans un nouvel onglet).
Via : BleepingComputer (Ouvre dans un nouvel onglet)