mega
Produits et Services PRODUITS & SERVICES

MEGA : Piratage de l’extension Chrome du service d’upload sécurisé

Un avertissement de sécurité, publié hier par MEGA, alerte sur une version piratée de son plugin pour le navigateur Chrome, qui a séjourné plusieurs heures dans le Chrome webstore !

Vous vous rappelez de MEGA, ou plus précisément, Megaupload comme il s’appelait à l’époque !

Bien sûr que oui !

Il s’agissait d’une entreprise de stockage cloud néozélandaise dirigée par Kim Dotcom, un entrepreneur de l’ère du digital hors du commun (il est vrai que Dotcom est au sens propre comme au figuré hors-norme, mesurant plus de 2 m !).

Megaupload n’est plus, ayant fini par se retrouver liée à des accusations de piratage qui ont finalement conduit à un raid controversé contre le domicile de Dotcom, et à l’arrestation très médiatisée de Dotcom ainsi qu’à la disparition de entreprise.

Dotcom est toujours en Nouvelle-Zélande, où il lutte contre une extradition vers les États-Unis depuis six ans.

Selon nos informations, trois tribunaux Kiwis ont déjà déclaré que son extradition pouvait avoir lieu. Ainsi, Dotcom a la possibilité de faire appel de son jugement une dernière fois, en supposant qu’il puisse persuader la Cour suprême d’accéder à sa requête.

Après la tempête

Après la tempête, le service Megaupload s’est bruyamment réinventé, en retirant notamment le mot controversé “upload”, et en passant MEGA en majuscules, le tout lancé avec optimisme et insistance le jour de l’anniversaire de l’arrestation de Dotcom !

L’approche de MEGA est qu’en faisant toute la partie chiffrement directement dans votre navigateur, au lieu de s’appuyer sur des sessions chiffrées qui finissaient sur les serveurs de l’entreprise, cette dernière ne serait pas au courant et ne serait jamais capable de savoir réellement ce que vous aviez téléchargé.

La seule personne qui aurait pu avoir des copies des clés cryptographiques utilisées pour chiffrer et déchiffrer vos fichiers serait vous, comme si vous les aviez chiffrés hors ligne au niveau d’une clé USB et que vous aviez ensuite uploadés une image disque sectorielle des données déjà chiffrées.

mega

Le nouveau service MEGA s’annonce comme un stockage cloud véritablement sécurisé et affirme qu’il ne pourra plus jamais être accusé de contribuer sciemment à la violation des droits d’auteur.

De même, il ne serait d’aucune utilité, pour des services de police, de faire appel à MEGA afin de déchiffrer les données d’un client, avec ou sans mandat.

L’entreprise n’a tout simplement pas pu se conformer à une telle demande, de sorte qu’elle ne pourra pas être accusée d’avoir refusé de se conformer.

NB : Si en 2018 cela vous semble normal, c’est parce que le véritable chiffrement de bout en bout est devenu courant depuis le lancement de Mega en 2013 et qu’il est maintenant implémenté dans de nombreux produits mobiles et web, notamment au niveau des applications de messagerie et des gestionnaires de mots de passe.  

Quant à Kim Dotcom, il s’est brouillé avec Mega en 2015, affirmant qu’il ne faisait plus confiance au site pour diverses raisons, plutôt vagues d’ailleurs, liées à des investissements chinois, à l’implication du gouvernement néo-zélandais et à l’ingérence de Hollywood.

MEGA, pour sa part, navigue sans Dotcom, se surnommant elle-même “The Privacy Company“, avec un slogan incroyablement simple la décrivant comme une entreprise proposant des “services cloud chiffrés par l’utilisateur”.

OK, maintenant ça suffit en guise d’introduction !

NB : Nous avons pris le temps de développer au sujet de l’entreprise car nous pensions que l’histoire de celle-ci, à la fois légale et cryptographique, était intéressante et intrigante ! 

Aujourd’hui, l’histoire ne porte pas sur ces faits passés, mais elle traite plutôt d’un avertissement de sécurité publié hier par MEGA, et alertant sur une version piratée de son plugin pour le navigateur Chrome, qui a séjourné plusieurs heures dans le Chrome webstore.

D’une certaine manière, les cybercriminels se sont emparés des identifiants d’upload du webstore de MEGA, ont créé une version malveillante du plugin de l’entreprise, qui dans ce cas précis a été “Trojanisé” avec un code permettant de récupérer des mots de passe, et ils l’ont uploadée en tant que dernière version officielle.

L’une des caractéristiques majeures de Chrome, en matière de sécurité, est bien sûr la mise à jour automatique, de sorte que toute personne ayant été en ligne durant cette “période de danger” (2018-09-04T14: 30Z à 2018-09-04T18: 30Z) pourrait très bien avoir reçu la version piégée.

Selon MEGA, l’extension infectée a pu repérer et voler “des identifiants pour des sites tels qu’amazon.com, live.com, github.com, google.com (pour la connexion au webstore), myetherwallet.com, mymonero.com, [et] idex.market”.

En outre, déclare MEGA, les “requêtes HTTP POST vers d’autres sites” ont également été consignées et exfiltrées.

Qu’est-ce que cela signifie ?

D’après la déclaration assez brève de MEGA, cela signifie que les identifiants pour les sites susmentionnés auraient été repérés et volés par les cybercriminels.

En outre, à peu près toutes les données que vous avez saisies au niveau d’un formulaire web (ou tout fichier que vous avez uploadé) se trouvant sur un site web non HTTPS, ont probablement été volées.

Ironie du sort, il semble que les procédures de sécurité de type “jardin clos” de Google n’aient fait leur apparition qu’après cinq heures, une heure après que MEGA ait réussi à remplacer la fausse mise à jour (3.39.4) par une mise à jour officielle (3.39.5).

En conséquence, l’extension MEGA n’est plus du tout disponible sur le webstore, pas même la mise à jour qui avait remplacé la version des cybercriminels.

NB : Au moment où j’écris cet article [2018-09-05T16: 30Z], il y avait plusieurs extensions utilisant le logo et la marque de MEGA, dont aucune n’était apparemment authentique.

Ironie du sort, comme mentionné par MEGA dans son rapport de sécurité, les extensions Chrome acceptées pour le webstore sont signées numériquement par Google pour le compte de leurs créateurs.

Cette signature numérique officielle est donc appliquée, par Google après l’upload d’une extension non signée, plutôt que par le créateur avant que l’upload n’ait lieu.

En d’autres termes, une fois que les cybercriminels se sont emparés des identifiants de connexion de MEGA au webstore, ils avaient déjà atteint leur objectif car ils n’avaient pas besoin des clés de signature de code de MEGA, ils pouvaient uploader le code non signé que Google signerait pour eux.

Et, dans une dernière ironie, les mots de passe et les données stockées sur MEGA n’étaient pas visés par l’extension piégée. S’agissait-il d’une fausse politesse de la part des cybercriminels, ou bien tout simplement d’un pied de nez, nous ne pouvons pas le dire !

Quoi faire ?

  • Si vous n’utilisez pas MEGA, vous pouvez vous détendre.
  • Si vous utilisez MEGA sans utiliser Chrome, vous pouvez vous détendre.
  • Si vous utilisez MEGA et Chrome mais que vous n’avez jamais installé l’extension MEGA, vous pouvez vous détendre.
  • Si l’extension affectée a été installée pendant la période indiquée ci-dessus, pensez à modifier tous vos mots de passe.
  • Si vous n’utilisez pas de gestionnaire de mots de passe, pensez à en essayer un dès maintenant. Les gestionnaires de mots de passe sont particulièrement utiles lorsque vous devez modifier beaucoup de mots de passe en même temps.
  • Si vous n’utilisez pas l’authentification à deux facteurs (2FA), pensez-y dès maintenant. Nous pensons qu’au moins certains des développeurs de MEGA n’utilisaient pas le 2FA, et que les cybercriminels en ont profité plus facilement.

En ce qui concerne les stratégies de signature de code de Google, nous avons tendance à être d’accord avec MEGA : exiger des uploads signés serait une bonne chose.

Même si l’extension finit par être signée par Google au lieu du créateur, il est fortement probable que l’étape supplémentaire de validation numérique, que Google pourrait effectuer lors de la mise à jour d’une extension, rendrait sans aucun doute les choses plus difficiles pour d’éventuels cybercriminels !


Billet inspiré de MEGA secure upload service gets its Chrome extension hacked, sur Sophos nakedsecurity.