Le Mega retour de Kim Dot Com

megaOn a beau ne pas être fan du bonhomme, il faut quand même lui accorder qu’il a le sens du suspens et du rebondissement. Depuis la fermeture de Megaupload, Kim Dot Com n’avait de cesse d’expliquer qu’il reviendrait avec mieux, plus gros, plus fort. C’est donc aujourd’hui que Mega, son nouveau site devrait ouvrir ses portes. J’ai donc voulu aller jeter un oeil à la plomberie du nouveau site de l’ami Kim.

A ma première tentative de connexion au frontal http://mega.co.nz/, il semble que le DNS en mange déjà plein la tête, et une redirection me téléporte sur kim.com/mega avec un joli message m’expliquant l’embouteillage :

Capture d’écran 2013-01-19 à 17.34.52

Peu importe, nous y accèderons par l’IP : http://94.242.253.38/

Première surprise, l’hébergeur est un illustre inconnu : as5577 et voici ses informations de peering.

Le frontal semble être un apache et petite subtilité… il est en debug !

Capture d’écran 2013-01-19 à 17.39.30

Et voici ce que nous raconte le Nmap  :

Capture d’écran 2013-01-19 à 17.44.15

Un apache en debug, un MySQL… c’est quand même un peu étrange pour un site qui est sensé encaisser des millions de requêtes dans quelques minutes… mais bon, pourquoi pas après tout ? Alors bluff ou pas bluff ton Mega, Kim ?

Update : le host et le dig sont assez intéressants également :

Capture d’écran 2013-01-19 à 18.12.17

 Update 2, cette fois nous y sommes Mega est ouvert, et la véritable infrastructure se dévoile, on est niveau AName sur une architecture similaire à celle de Megaupload :

Capture d’écran 2013-01-19 à 19.16.03

Update 3 : Le lancement semble être un succès, les premiers chiffres devraient le confirmer rapidement. En parcourant un peu le code source on tombe sur le CDN qui sert les fichiers statics, ces derniers semble être servis par Cogent. Gageons que ceci va faire super plaisir à Orange et que la guerre du transit qui a opposé les deux entreprises va surement s’étendre à d’autres fournisseurs d’accès Internet français.

Capture d’écran 2013-01-19 à 23.30.47

 

A la racine du static files server, circulez, il n’y a rien à voir :

Capture d’écran 2013-01-19 à 23.25.24

Mes premiers tests d’upload… merdiques, je n’ai jamais réussi à finir l’upload d’un binaire d’openoffice, l’upload s’est tout simplement bloqué, et la crête d’upload a du avoisiner les… 6,4ko (Mega a peut-être été victime de son succès, mais c’est franchement pas top) :

Capture d’écran 2013-01-19 à 21.13.05

J’ai tenté ensuite une inscription comme ça pour le fun après avoir lu un article de Gizmodo qui nous explique que Méga fait dans la Méga sécurité… mouais bof, utiliser les mouvements de souris pour ajouter de l’entropie lors d’une génération de clé, ça n’a rien d’une nouveauté, c’est comme ça que procèdent déjà de nombreux logiciels « sérieux ».

Capture d’écran 2013-01-19 à 23.21.26

En tout cas, Kim l’a bien vendu en appelant ça de la crypto contrôlée par l’utilisateur. Je n’y vois personnellement pas de procédé révolutionnaire mais la presse devrait se laisser embobiner assez facilement, les 3 mots ensemble claquent pas mal.

Update 4 : La crypto coté user c’est un concept plutôt sympa, mais voilà quand on sert la secu de son paquet de javascript avec une clé 1024 bits, on parait tout de suite un peu moins blindé, c’est ce que relève  @DrWHax (thx @koolfy).

Capture d’écran 2013-01-20 à 00.38.19

On commence à voir fleurir une multitude d’âneries sur le supposé blindage de Mega, une analyse un peu plus fine de l’infra et des petites horreurs en Javascript qui traitent un peu trop de logique pour que ce soit si blindé que ça, devraient vite révéler les faiblesses de Mega. Si vous comptez utiliser Mega « professionnellement », pour le moment, réfléchissez y à deux fois.

Un XSS a même déjà été trouvé.

mega xss

Le XSS peut conduire à un vol de la clé RSA privée puisque cette dernière utilise LocalStorage, ce qui est bien… mais franchement pas top.

Capture d’écran 2013-01-20 à 00.35.42

De multiples grossières erreurs peuvent avoir un impact important sur la sécurité globale des utilisateurs de Mega et pour le moment, le « blindage » du site reste à démontrer, mais une chose est sûre… peut mieux faire.

Update 5 : Bon ça commence à être la fête du slip, un nouveau scan met en évidence d’autres ports ouverts sur le front en 166 (errata le 7070 et le 554 sont probablement de faux positifs):

Capture du 2013-01-20 01:31:23

Update 6 : Niveau accessibilité c’est pas non plus trop ça, en fait c’est même à se demander qui y accède :

Capture du 2013-01-20 02:51:33

Update 7 : il y aurait bien un souci concernant le mécanisme de génération des clés de chiffrement, assuré par un fichier javascript. En fait Mega semble utiliser assez peu de différents paramètres pour générer ses clés. Il en découle une entropie non satisfaisante et on peut donc supposer que la séquence de prédiction des clés est faillible. @Kaepora signale aussi fort justement que Mega peut très bien désactiver le chiffrement serveur side pour un utilisateur donné sans que ce dernier en soit notifié. La crypto coté user ok mais le contrôle reste à Mega… Bref si vous avez des fichiers confidentiels, oubliez tout de suite de les coller sur Mega, ils ne sont pas en sureté.

Update 8 : les bizarreries au niveau du certificat SSL commencent. Voir le paste de l’analyse SSLyze de @fo0_ .Ce qui était valide hier ne l’est plus aujourd’hui :

Capture d’écran 2013-01-20 à 10.28.21

Wget le met en évidence, l’émetteur est maintenant rapporté comme étant inconnu (thx @ali0une)… et c’est vrai que le choix de Comodo peut paraitre un peu curieux :

Capture d’écran 2013-01-20 à 11.01.22

La HADOPI va t-elle dédommager les FAI ?

tuyauEn dehors de SFR et ses DNS en carton (qui étaient encore en carafe aujourd’hui) qui assume promptement son zèle pour communiquer gratuitement l’identification des adresses IP de ses abonnées à la HADOPI, les autres fournisseurs d’accès n’ont toujours pas de réponse concernant le paiement des frais engagés dans l’identification des personnes qui n’ont pas compris que le P2P était la seule cible de la haute autorité. On ne s’étonnera d’ailleurs pas d’un passage en force comme pour le blocage des sites imposé par une autre « haute autorité administrative » (c’est très tendance en ce moment), l’ARJEL, qui a réussi à obtenir un blocage des sites « par tous les moyens possibles« , dans une décision de justice en référé.

Oui sauf que la HADOPI c’est aussi, et surtout, des utilisateurs de P2P qui migrent sur des solutions de téléchargement basées sur un modèle minitelien avec un serveur central (Megaupload) que tout le monde bourine allègrement. Le P2P est un modèle d’échange qui a pour vertu d’équilibrer la charge de trafic sur un réseau là où des sites de direct download comme Megaupload auront pour effet de saturer un lien de plusieurs terabits en sens unique (de Megaupload vers l’utilisateur). Tout ceci va également avoir un coût pour les fournisseurs d’accès qui, pour le coup, pourraient connaitre des congestions ou faire les gros yeux quand ils vont recevoir la douloureuse de trafic transatlantique (les serveurs de Megaupload sont principalement situés aux USA et aux Pay-Bas.

Il me semblerait en ce sens logique que les fournisseurs d’accès demandent un dédommagement à la HADOPI (ou aux sites de download) qui ne manquera surement pas de proposer à ces derniers de bloquer ces sites … allez on prend les paris ?

La bande passante qui n’était pas un réel problème jusque là risque bien de le devenir, encore une perversion de la HADOPI.

HADOPI : Premiers mails au printemps… premières barres de rire tout de suite

hadopi megauploadSelon ZDNet, Le ministère de la Culture se préparerait à mettre en route sa machine à spam en au printemps. L’article relève qu’HADOPI ne surveillera que les réseaux P2P… Franck Riester nous expliquait que c’était très dur et pas à la portée de tout le monde de contourner HADOPI…

Le plus amusant est quand même Michel Thiollière, sénateur UMP de la Loire, membre de la Haute Autorité. : « Nous ne pourrons pas empêcher de télécharger. On trouvera toujours des techniques sur Internet pour passer outre le système. Avec Hadopi on ne dit pas qu’on va tout régler du jour au lendemain, mais si ça ne marche pas, on pourra faire des propositions. »

Sérieusement Michel tu penses que ça a un millième de chance sur un million de fonctionner ton truc ?

Allez juste pour rire : matte le niveau de tueur qu’il faut pour avoir la paix avec HADOPI

Et voilà Michel, maintenant, même toi tu sais contourner HADOPI.
Alors on fait quoi pour HADOPI 3 ? On interdit Google, Yahoo et Bing ?

Contourner l’HADOPI pour les nuls (partie 1) : direct download avec megaupload

direct-downloadA ce jour, les discussions de l’Assemblée Nationale ont essentiellement porté sur le Peer to Peer, il est assez amusant de constater que les téléchargements directs ne pourront, eux être surveillés. C’est donc avec un outil de « hacker chinois pirate pédo zombie nazi communiste », à savoir Google, que nous allons vous démontrer, une première fois que l’HADOPI est morte comme le disco.

Les sites du type Megaupload, RapidShare,Yousendit ou Sendspace Downloader vont donc se frotter les mains, certes mais le soucis, du coup, ça va être d’y trouver ce que l’on cherche. Pas de panique, une requête bien sentie dans un moteur de recherche n’a rien a envier à une recherche sur un réseau P2P, bien au contraire. Par exemple, la requête « site: » devrait devenir le must de ces prochains mois… en voici un petit exemple. Ici, je demande à Google de m’extraire du site mégaupload tout ce qui contient dans le nom du fichier le mot « Linux » … les « pirates » y préféreront sûrement des termes du type « full album » ou « dvdrip », mais l’approche est exactement la même, elle est même dramatiquement plus simple à mettre en œuvre que l’installation d’un logiciel de peer to peer .
Google indexe les pages a une vitesse phénoménale (de l’ordre d’une dizaine de minutes), il est donc évident que comme pour le peer to peer, la « chronologie des médias » si chère à certains, passera de que ques mois à 10 minutes.

Si vous n’êtes pas à l’aise avec les grands moteurs de recherche classique, pas de problème, voici un moteur qui n’ira chercher que là ou il le faut.

NB : Le direct Download se combine parfaitement avec des dispositifs cryptographiques comme TOR sur lesquels nous reviendrons ultérieurement. Il existe des centaines, peut être des milliers de sites comme Megaupload, ils sont parfaitement légaux, mais comme partout sur le net y transitent des fichiers un peu moins légaux … le net est comme ça.