Des pirates ont annoncé avoir obtenu les identifiants des administrateurs et le code source du service Cloud Mega.nz.
Anciennement Megaupload, site d’hébergement de fichiers fermé par le FBI en 2012, le service Mega, lancé en 2013 et enregistré sous un nom de domaine néo-zélandais (nz), s’est vu volé des données par un groupe de pirates. Le service compte 50 millions d’utilisateurs enregistrés. L’action est revendiquée par Amn3s1a Team, qui aurait aussi eu accès à des documents internes, en exploitant une vulnérabilité des accès à privilèges.
Le président de Mega, Stephen Hall, a confirmé ce vendredi 18 novembre l’incident dans un communiqué, mais a déclaré qu’aucune donnée utilisateur n’avait été compromise. Selon la société, les pirates informatiques ont réussi à obtenir l’accès aux informations d’identification internes utilisées par un des partenaires de Mega, qui s’occupe de la maintenance du blog de la société et du centre d’aide. Les hackers ont utilisé ces informations d’identification pour accéder à l’ordinateur de l’entrepreneur et aux serveurs de Mega.
Si Mega confirme que les hackers ont volé du code source, il minimise sa valeur. « Mega publie ce code source pour assurer la transparence. Voir https://www.github.com/meganz », écrit Stephen Hall.
Aucune donnée sensible compromise selon Mega
Le président indique également que la faille a été sécurisée et que le blog et le centre d’aide seront restaurés rapidement. « Aucune donnée sensible ou mot de passe n’a été violée« , affirme-t-il. « Aucune donnée utilisateur n’a été compromise. » « Dans tous les cas, les contenus des utilisateurs sont chiffrés avant leur arrivée sur Mega, ainsi les données utilisateurs sont toujours en sécurité », assure le président.
Alors rien à craindre ? Sur son compte Twitter, Kim Dotcom, le fondateur de Mega, qui n’est plus impliqué dans Mega, a ouvertement critiqué la direction actuelle : « Lorsque j’étais encore chez Mega, nous avions l’habitude de récompenser des experts en sécurité pour avoir identifié les faiblesses de notre réseau. J’imagine que ce n’est plus le cas… ».
« J’ai toujours demandé à Mega.nz d’être open source. Regardez maintenant ce bazar. Personne ne peut faire confiance à Mega pour garder en sécurité ses données ou sa communication », ajoute-t-il dans une autre tweet il y a quelques heures. Et il évoque encore la possibilité que les pirates aient « placé des backdoors ».
Joël Mollo, directeur Europe du Sud de Skyhigh Networks, est catégorique: « Lorsque les identifiants des administrateurs et le code source de ce genre de services sont dérobés, comme c’est le cas ici, cela signifie que les données qui y sont stockées sont en danger. ».
Il n’y va pas par quatre chemins, et conseille aux entreprises d’interdire l’accès à ce site « Mega appartient à une catégorie de services Cloud dont l’utilisation expose à un si grand risque qu’ils ne devraient pas être autorisés ni accessibles au sein de l’entreprise ». Mais il soutient, se basant sur une étude interne, que faute d’outils adéquats, les entreprises ne réussissent à bloquer Mega que trois fois sur cinq, ce qui révèle « un écart entre la politique de sécurité établie et la réalité ».
