La plateforme de stockage Mega repose sur un système de chiffrement dit asymétrique dans lequel deux clés sont générées. L'une est privée, l'autre publique peut ensuite être partagée avec d'autres utilisateurs. Ces clés utilisant de l'AES-256 sont alors générées en fonction des informations que l'utilisateur entre mais prend également en compte une part d'aléatoire en s'appuyant notamment sur des mouvements de souris ou les frappes de clavier.
Un tel système n'est pas nouveau et a d'ailleurs déjà été utilisé pour des services comme Cryptocat, afin de chiffrer du côté du client des conversations en chat. Si le chiffrement en lui-même est robuste, des questions peuvent tout de même se poser quant à la génération de cette clé.
Thibault Koechlin, responsable du pôle conseil de NBS Systems nous explique : « Le système proposé par Mega ne donne pas l'assurance de la qualité. S'agissant de la génération de la clé de chiffrement, il y a effectivement des questions à se poser. Si la création de ces clés est prévisible, cela pourrait entraîner une mise à mal du système. D'autant que d'autres services comme Wuala proposent de chiffrer localement des données sur le poste utilisateur. Mega va donc traverser une phase de maturation qui peut durer quelques semaines ou mois mais nous allons très bientôt voir apparaître des résultats qu'ils soient positifs ou négatifs ».
Mega devrait donc répondre aux critiques dans les prochains jours en corrigeant certains points de son service. Sur son blog, Bluetouff précise que des failles ont été déjà trouvées et parfois même corrigées par les développeurs de Mega.
Plus globalement, les éditeurs de sécurité interrogés par nos soins estiment que la nouvelle plateforme sert « à protéger juridiquement le site (notoirement contre les actions des puissants lobbies hollywoodiens), absolument pas les utilisateurs ». Guillaume Lovet, Responsable de l'équipe EMEA chez Fortinet rappelle « qu'en informatique, on ne peut pas générer une clef complètement aléatoirement - on essaye de s'en approcher le plus possible par diverses techniques. Vu l'exposition médiatique de Mega, on saura assez vite si leur méthode de génération des clefs est suffisamment aléatoire ».
De son côté, gs2i invite les éventuels professionnels intéressés par le service à regarder de plus près ses conditions d'utilisation. Thierry Goigoux, experte en sécurité précise que « Mega stocke toutes les données des utilisateurs, dont le login et le mot de passe servant à chiffrer et décrypter les données. En cas de souci, ils transmettront les données privées aux services concernés. Partager des informations non sensibles pour un particulier ne représente aucun risque, cependant, en tant qu'entreprise, mieux vaut garder les données chez soi ou chez un fournisseur n'ayant pas ce type de condition de vente ».
