Mega: Peut-on faire confiance au nouveau service de Kim Dotcom?

HIGH TECH Certains experts et sites spécialisés pointent du doigt une part «d'esbroufe» en matière de sécurité et une attitude hypocrite de la part du créateur du site...

Anaëlle Grondin
— 
La page d'accueil du site Mega, créé par Kim Dotcom.
La page d'accueil du site Mega, créé par Kim Dotcom. — CAPTURE D'ECRAN/20MINUTES.FR

C’était l’événement attendu par de nombreux internautes le week-end dernier. Le lancement de Mega, le nouveau site de Kim Dotcom, à la tête de MegaUpload avant que le site soit fermé par le FBI l’an dernier. Le jour J, le site Internet a été submergé jusqu’à en rester bloqué durant plusieurs heures. «Il ne faut pas se leurrer, entre un film à 11 euros chez Gaumont et le retour du plus gros site de téléchargement au monde, mon choix est fait», indique un internaute de 20 Minutes, qui s’est laissé séduire par le nouveau service. Mais ceux qui ont fait comme lui ont-ils raison de faire confiance à Mega et à son sulfureux patron Kim Dotcom?

Mega se présente comme un simple site de stockage en ligne parfaitement légal, à l’instar de Dropbox et Google Drive, fait valoir l’Allemand naturalisé néo-zélandais. Le site «n’a pas été développé pour héberger des contenus illégaux. Nous offrons juste du stockage à nos utilisateurs», a insisté Kim Dotcom dans une interview au Nouvel Observateur. Lorsqu'un utilisateur poste un fichier sur Mega, le message suivant s’affiche: «Avertissement sur le copyright: Mega respecte le copyright et demande aux utilisateurs de service de stockage en ligne Mega de respecter les lois du copyright. (…) Vous ne pouvez télécharger, stocker, partager, afficher, diffuser, distribuer, envoyer par e-mail, mettre en lien, transmettre et rendre disponible de quelque manière que ce soit des fichiers, des données, ou du contenu qui portent atteinte aux copyrights ou autres droits propriétaires de personnes ou entités.»

Kim Dotcom protège son site, pas ses utilisateurs

«Mega a promis de "respecter les droits de propriété intellectuelle d'autrui et s'attend à ce que les utilisateurs en fassent de même." Néanmoins, on peut penser qu'il y aura très peu de poursuites individuelles [en cas de contrefaçon]. C'était très rare avec MegaUpload et il devrait en être de même», estime Mathieu Prud’homme, avocat spécialisé dans les nouvelles technologies. La mise en avant du respect du copyright ne serait-elle ainsi qu’une façade? Kim Dotcom, qui ne cesse de répéter depuis un an qu’il souhaite faire renaître MegaUpload de ses cendres et multiplie les pieds de nez aux autorités américaines sur Twitter, ne jouerait-il pas les hypocrites avec Mega?

Nul doute que les utilisateurs ne se contenteront pas d’échanger des documents Word et des Power Point. «Un rapide coup d’œil aux fichiers échangés devrait suffire à provoquer un ulcère chez tous les Pascal Nègre de la terre», fait remarquer Télérama, qui souligne que «Kim Dotcom se moque de vous». Car s'il fait très attention aux copyrights désormais, il s’agit de se protéger pour éviter les mêmes poursuites qu’à l’époque de MegaUpload. Pour se dédouaner de toute accusation de contrefaçon, il a fait en sorte de faire peser la responsabilité de la mise en ligne de fichiers piratés sur les utilisateurs de Mega: sur le site, les fichiers mis en ligne par les internautes sont cryptés grâce à des algorithmes dont le site n'aura pas connaissance. L'accès aux contenus est ainsi sous la seule responsabilité de l'utilisateur. En résumé: Kim Dotcom protège le service et pas ses utilisateurs.

Par ailleurs, ce mécanisme de chiffrement des fichiers mis en ligne, sur lequel Kim Dotcom a bâti une grande partie de sa communication, présente des vulnérabilités à en croire plusieurs spécialistes. L'expert en sécurité Nadim Kobeissi, à l'origine du système de messagerie sécurisée Cryptocat, assure sur Twitter que cet outil peut être désactivé unilatéralement par Mega pour un utilisateur, sans qu’il en soit notifié. Il explique également que «Mega utilise le chiffrement par JavaScript pour générer des clés RSA, en collectant les mouvements de la souris et les frappes sur le clavier. Il utilise [le chiffrement] AES, exactement comme les anciennes versions de Cryptocat. Nous avons fait bien mieux depuis.» Le blogueur Bluetouff, qui a testé le nouveau service en long et en large, écrit dans une note à propos du mécanisme de chiffrement du site: «Kim l’a bien vendu en appelant ça de la crypto contrôlée par l’utilisateur. Je n’y vois personnellement pas de procédé révolutionnaire mais la presse devrait se laisser embobiner assez facilement, les 3 mots ensemble claquent pas mal (…) Si vous comptez utiliser Mega ‘professionnellement’, pour le moment, réfléchissez-y à deux fois.» 

Vos informations ne sont pas cryptées

Numerama avertit de son côté qu'il est impossible de changer de mot de passe une fois inscrit sur Mega. Pourtant, le mot de passe est constitutif de la clé de décryptage principale de ses données. Cela veut dire que si on le perd, on perd aussi tout accès à ses fichiers. Et s'il est piraté, «les hackers pourront uploader en votre nom n'importe quel contenu et le partager, rendre publics des fichiers qui étaient privés, supprimer tous les fichiers stockés sur Mega, ou télécharger l'ensemble», signale le site spécialisé.

L’utilisation des données personnelles et des informations bancaires est également questionnée depuis le lancement de Mega. Vos fichiers sont peut-être cryptés, mais pas vos données personnelles. «Les informations auxquelles nous devons avoir accès, telles que votre adresse mail, votre adresse IP, l’arborescence de vos dossiers, la propriété de vos fichiers et vos informations bancaires, sont stockées et traitées de manière non chiffrée», indiquent les conditions générales d’utilisation du site.

Sur la plate-forme Le Plus du Nouvel Observateur, le médiateur Mathieu Sicard énumère les «pour» et les «contre» Mega. Il finit par écrire: «J'ai déjà perdu mes données à la fermeture de MegaUpload, je préfère les stocker ailleurs que chez le sulfureux Kim Dotcom.»