Résumé de l’affaire TrueCrypt

Posté par  . Édité par Nÿco, BAud, esdeem, Benoît Sibaud, palm123, Nils Ratusznik et glennie. Modéré par Nÿco. Licence CC By‑SA.
45
20
juin
2014
Sécurité

TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.

TrueCrypt

Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :

ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés

Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !

Les faits

Le sous-domaine de Sourceforge hébergeant le projet indique que le développement de TrueCrypt a pris fin en mai 2014, suite à la fin de la période de support de Windows XP et que les systèmes plus récents de Microsoft offrent de base un système de chiffrement. En effet, il est dit que Windows était la cible principale, ce qui expliquerait aussi que la page d’accueil ne dispose que d’informations pour migrer, sous Windows, vers Bitlocker.

En bas de page, il y a un lien vers les instructions pour migrer, depuis Mac OS X, vers la solution intégrée dans ce système d’exploitation, ainsi qu’un équivalent poli de « Google est ton ami » pour les utilisateurs de GNU/Linux (qui pourront se rabattre sur tc-play, voir plus bas). Ce qui étonne certains, c’est que les deux tutoriels conseillent de migrer vers des solutions dont le code source n’est pas accessible, sachant que les développeurs ne voulaient pas utiliser TPM car il pouvait être utilisé par des agences gouvernementales pour récupérer des clés privées.

Sur le site web, on peut télécharger une nouvelle version de TrueCrypt signée avec d’anciennes clés de chiffrement de l’équipe. Celle-ci ne permet que le déchiffrement des données et certains soupçonnent cette version de posséder une porte dérobée. Après tout, ça serait cohérent : miser sur la panique pour que les gens migrent en masse et récupérer un maximum d’informations sensibles…

Hypothèses

Entre soupçons de site cracké et clés utilisées pour signer les versions de TrueCrypt compromises, une pression du gouvernement ou la possibilité que l’alerte ait été mise en place pour protéger les gens d’une porte dérobée dans la dernière version complète de TrueCrypt, la paranoïa s’installe et les rumeurs se multiplient au point que même Le Monde en parle.

Des alternatives libres sous GNU/Linux

Heureusement, sous GNU/Linux on peut toujours utiliser l’utilitaire en ligne de commande tc-play ou un logiciel comme Zulucrypt qui fournit une interface graphique à tc-play (et à LUKS).

Mais la force de TrueCrypt, c’est d’avoir une interface simple à utiliser et d’être multiplateforme. D’un autre côté, même avec une solution de chiffrement auditée, on n’a toujours pas accès au code source de Windows ou de Mac OS X ; qu’espérer, alors, en terme de confidentialité de l’utilisation de ces outils ?

TrueCrypt toujours dans la course?

Néanmoins, il ne faut ni céder à la panique ni faire de suppositions hasardeuses. Même si a priori l’équipe originale ne fera plus de correction de bug, d'après ce billet de la Gibson Research Corporation, TrueCrypt est toujours sûr et on peut en trouver les anciennes versions sur le nouveau site truecrypt.ch tenu, entre autres, par l’ancien président du Parti Pirate suisse.

De plus, TrueCrypt est en train d’être audité et va continuer à l’être, devenant ainsi la première solution de chiffrement de grands volumes de données à avoir été auditée. L’équipe de l’Open Crypto Audit Project, qui s’occupait de cet audit, a aussi publié un miroir de la version 7.1a de TrueCrypt, après l’avoir audité.

Conclusion

Malgré le bruit que tout cela a provoqué, et jusqu’à preuve du contraire, TrueCrypt est toujours fiable ; de plus, il est possible de développer des implémentations alternatives, même si pour l’instant ça reste limité à tc-play sous GNU/Linux.

Annexe sur le caractère non-libre de TrueCrypt

Voir la partie Licence sur la page Wikipédia TrueCrypt, ainsi que les discussions chez Debian, Ubuntu, Redhat, Gentoo et Suse concernant ce logiciel.

Aller plus loin

  • # Certification ANSSI

    Posté par  . Évalué à 7.

    Et n'oublions pas que la version 7.1a a également une Certification de Sécurité de Premier Niveau (CSPN) délivrée par l'ANSSI : ICI

    Le version 7.1a est toujours disponible sur le site truecrypt.ch

    L.

  • # Pastebin

    Posté par  . Évalué à 8.

    J'étais tombé je ne sais plus comment sur ceci. C'est un mail d'un des auteurs de TrueCrypt en réponse à une personne qui voulait reprendre un peu de code de TrueCrypt pour changer sa licence afin que tout le monde en profite. Il refuse ici poliment en invoquant le fait que de toute manière une réécriture complète était déjà envisagée et qu'il préfère que TrueCrypt soit réécrit entièrement.

    C'est à prendre avec des pincettes, car je n'ai pas trouvé les mails originaux (si il y en a). À moins que pour communiquer anonymement, ils utilisent pastebin ?

  • # Théorie du complot

    Posté par  . Évalué à 10.

    Moi je sais ce qui se passe !

    Si on prend le message sur le site :

    WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

    Que l'on prend les premières lettres de chaque mot et qu'on met des espaces là où il faut :

    uti nsa im cu si

    Ce qui, en latin, veut dire "Si je veux utiliser la NSA" (preuve google trad )

    Les créateurs du site veulent clairement nous faire passer un message…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.