En fin de semaine dernière Kim Dotcom a officiellement lancé son programme de récompense aux vulnérabilités Mega qui a été annoncé plus tôt dans la semaine dernière également. Comme je l’ai mentionné ce samedi passé, le fondateur de Mega a mentionné par l’intermédiaire d’un tweet vouloir offrir une récompense de 10 000 euros à toute personne qui peut outre-passer la sécurité de Mega.
Le service de stockage de fichiers nouvellement lancé par Kim Dotcom a souhaité récompenser quiconque pourrait signaler un bug ou défaut de conception pertinent sur la sécurité de Mega. L’attrait ? Il offre jusqu’à 10 000 € par bug, « en fonction de sa complexité et le potentiel impact ».
The #Mega crypto & security REWARD PROGRAM is live. Earn up to 10,000 EURO per vulnerability. mega.co.nz/#blog_6
— Kim Dotcom (@KimDotcom) 2 février 2013
Avec ce programme nouvellement créé, Kim Dotcom cherche à améliorer son système de sécurité de son nouveau service. Après le lancement de ce dernier, le modèle de sécurité de Mega et la mise en œuvre ont été sujets à de vives critiques (surtout par Ars Technica) et a également souffert de plusieurs attaques. Ainsi, il espère que son service pourra mieux se défendre contre les intrusions non autorisées et également renforcer sa protection.
Il est important de noter que les participants peuvent recevoir jusqu’à 10 000€ de récompense, il est donc essentiel de comprendre ce que la société qualifie de « bug » :
- L’exécution de code à distance sur un de leurs serveurs (y compris l’injection SQL)
- L’exécution de code à distance sur n’importe quel navigateur du client (par exemple, par le biais du XSS)
- Toute modification du modèle de sécurité cryptographique, permettant un accès distant ou non à la manipulation des clés ou des données
- Toute requête qui contourne le contrôle d’accès
- Toute requête qui met en danger les données d’un compte dans le cas où l’adresse e-mail est compromise
Seuls ceux qui sont déterminés à être le « first finder of the bug » sont éligibles pour espérer remporter le premier prix, et ceux déclarés par des tiers ne sont généralement pas pris en considération pour la récompense.
Dans le cadre de ce programme, Mega a présenté trois scénarios que les hackers peuvent tenter de résoudre :
1. Compromised static CDN node (*.static.mega.co.nz) : Let’s assume that you have compromised one of our static content servers and are able to manipulate the files (including all JavaScript code) served from it. Can you leverage that achievement to compromise our security? Disclaimer: Influencing user actions through modified image files, while indeed a potential vulnerability in this context, is excluded!
2. Compromised user storage node (*.userstorage.mega.co.nz) : Let’s assume that you have gained access to one of our storage nodes and are able to manipulate it freely. You know that your victim is about to download a particular file residing on that node, but you don’t have its key. Can you manipulate its content so that it still downloads without error?
3. Compromised core infrastructure (*.api.mega.co.nz) : This is the most extreme scenario. Let’s assume that you have compromised our operational heart, the API servers. Can you trick API clients into surrendering usable keys for files in accounts that do not have any outgoing shares in them?
En plus de ce programme, Dotcom a également offert une autre option pour récupérer la récompense : un défi par force brute. Autrement dit, tous ceux qui peuvent lui envoyer la clé qui décrypte un fichier spécifique ainsi que le mot de passe codé dans un lien de confirmation pourraient être admissibles à recevoir la récompense suprême.
La société affirme que toute personne qui trouve un bug peut le soumettre à [email protected].
Protéger l’entreprise et ses utilisateurs est une chose importante pour Dotcom, surtout du gouvernement. Lorsqu’on a demandé à Dotcom si Mega suivrait le même sort que son précédent service, Megaupload, il a indiqué qu’avec Mega la situation serait tout à fait différente.
En lançant un service à partir de zéro, un potentiel inconvénient est que le service est assujetti à diverses attaques et doit éliminer toutes les potentielles vulnérabilités. Mega fait maintenant appel au crowdsourcing pour s’assurer qu’il est protégé de tous…
Messieurs les hackers, au boulot !