Kim Dotcom offre 10 000 euros à qui piratera Mega

Si Kim Dotcom a bien peur d’une chose, c’est de se retrouver derrière les barreaux. Arrêté le 19 janvier 2012 en Nouvelle-Zélande, le furieux créateur de MegaUpload est toujours sous la menace d’une extradition aux États-Unis. Ce qui explique, en grande partie, qu’il ait mis les bouchées doubles pour assurer la sécurité de Mega – successeur de MegaUpload- en développant un système de cryptage. Tout fichier hébergé sur le site est crypté avec une clé choisie par l’internaute et que lui seul connaît, et qu’il peut, s’il le souhaite, partager. Un moyen pour Dotcom de se décharger de toute responsabilité.

            {"type":"Pave-Haut2-Desktop"}
          

Kim Dotcom vs ses détracteurs

Mais, à peine le site était-il en ligne que les critiques fusaient, chercheurs et spécialistes en informatique assurant que la sécurité de Mega n’est pas aussi opérationnelle que son créateur le prétend. Dans un article publié sur Forbes le 21 janvier, le cryptographe Nadim Kobeissi estimait ainsi que « c’est un bon site, mais au niveau de la cryptographie, les concepteurs semblent n’avoir aucune expérience. Pour être franc, c’est comme si j’avais codé ça, bourré, en 2011. » Principale critique émise contre la plateforme de téléchargement (notamment par Ars technica) : l’impossibilité de générer un nouveau mot de passe (et donc une nouvelle clé de cryptage) en cas d’oubli.

Des critiques auxquelles s’était empressé de répondre le Néo-Zélandais d’adoption dans un billet de blog. Il y annonçait qu’il remédierait au problème du mot de passe tout en rappelant : « la seule clé que Mega demande à l’utilisateur de conserver est le mot de passe, dans son cerveau. Ce mot de passe ouvre la clé, qui ouvre, à son tour, les clés privées des fichiers ». Sous couvert de répondre à ses détracteurs, Kim Dotcom confirmait, surtout, leurs critiques, avec, certes, une pointe d’humour :

« Si tu peux hacker le SSL [qui protège les fichiers sur Internet, ndlr], tu peux hacker Mega ». Oui. Mais si tu hackes le SSL, tu peux hacker un tas de choses beaucoup plus intéressantes que Mega. »

Le 1er février, Dotcom a finalement remédié au problème du mot de passe en offrant la possibilité aux utilisateurs d’en changer ou de le réinitialiser dans l’espace de gestion de son compte. Le hic : il faut être connecté à son compte pour en changer ou n’avoir aucune donnée hébergée sur son espace de stockage. En clair : on ne peut toujours pas récupérer ses fichiers si l’on a oublié son mot de passe. Dotcom explique :

« La réinitialisation d’un mot de passe avec des fichiers encore présents [dans l’espace de stockage, ndlr] est une opération considérablement plus délicate – nous ne voulons pas casser la sécurité de votre compte mail et mettre en danger l’intégrité de vos fichiers – nous nous en occuperons plus tard. »

Ça vous dirait de gagner 10 000 euros ?

Spécialiste de la mise en scène de sa vie, fanatique de Twitter, Kim Dotcom ne pouvait se contenter de posts de blog pour contrecarrer ses détracteurs. Il a donc lancé un concours le 2 février via Twitter. Oui, un concours, avec, à la clé, 10 000 euros. Le défi (de taille) : hacker la plateforme de téléchargement.

Le concours est très sérieux puisqu’un règlement a même été posté sur le blog de Mega, où sont listées les méthodes de piratage acceptées et celles prohibées (vous ne pouvez, par exemple, pas utiliser le phishing, ni vous appuyer sur des mots de passe trop faibles pour casser la sécurité du site). Dotcom va encore plus loin en promettant un bonus à ceux qui décrypteraient un fichier dont l’URL est postée sur le blog et hackeraient le mot de passe encodé dans un lien de confirmation, également publié sur le blog. La méthode à suivre est très simple : il suffit d’envoyer son ou ses bugs à bugs@mega.co.nz. Théâtral, Kim Dotcom précise : « C’est à nous de décider si vous vous qualifiez et combien vous gagnez, et, même si nous allons être justes et généreux, vous devrez accepter notre verdict. » Prêt, feu, partez !