« Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité »,
La fin mystérieuse de la solution de chiffrement

Le , par Hinault Romaric, Responsable .NET
Après la faille Heartbleed dans OpenSSL, des informations concernant l’outil de chiffrement open source TrueCrypt viennent à nouveau bouleverser l’écosystème de la sécurité sur internet. Une des pages officielles de l’outil affiche un mystérieux message affirmant que le développement de TrueCrypt a été arrêté et que les utilisateurs doivent cesser d’avoir recours à celui-ci.

« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. Cette page existe seulement pour faciliter la migration des données existantes chiffrées par TrueCrypt. Le développement de TrueCrypt a été abandonné le 5/2014, après que Microsoft ait mis fin au support de Windows XP. », peut-on lire sur la page d’hébergement du projet sur Sourceforge.

Pour rappel, TrueCrypt est un célèbre outil de chiffrement qui existe depuis plus d’une décennie, permettant de sécuriser les données d’un espace de stockage (disque dur par exemple), en chiffrant celui-ci.

Cette brusque annonce autour de laquelle règne un flou total n’a pas manqué de créer une grosse polémique et plusieurs spéculations sur les raisons réelles de cette annonce.

Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

D’autres voient en cette fin un canular des pirates, qui auraient hacké la plateforme d’hébergement du projet. Un autre scénario évoqué serait la découverte d’une faille importante qui était beaucoup trop complexe à corriger pour les développeurs. Au lieu de divulguer celle-ci publiquement, il aurait décidé de mettre fin au projet. Un conflit entre les développeurs du projet a été également avancé.

Sur la plateforme d’hébergement du projet, la version 7.2 de TrueCrypt est disponible en téléchargement et Brian Krebs, un expert en sécurité écarte le scénario du piratage, car il n’y aurait pas eu des changements récents dans les données d’identification du site et la dernière version de l’outil utilise la même clé de sécurité que la version précédente.

Pour lui, ces deux faits montrent que le message est légitime et que TrueCrypt a officiellement pris sa retraite. La version 7.2 de TrueCrypt ne permet que de déchiffrer les données pour procéder à leur migration. La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

Un groupe de développeurs (Thomas Bruderer et Joseph Doekbrijder) a déjà pris l’initiative de faire renaitre le projet. Sur le site http://truecrypt.ch/ qui vient d’être lancé par ceux-ci, on peut lire le message « TrueCrypt ne doit pas mourir ». Ceux-ci espèrent être rejoints rapidement par d’autres développeurs pour organiser l’avenir de TrueCrypt.

Pour l’instant, le mystère règne sur la fin de TrueCrypt et chacun y va de son commentaire. Affaire à suivre.

Source : Le site du projet, billet de blog de Brian Krebs

Et vous ?

Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

Quel scénario de son abandon vous semble le plus probable ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Voïvode Voïvode - Membre émérite http://www.developpez.com
le 30/05/2014 à 13:34
Citation Envoyé par Hinault Romaric  Voir le message
La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

Les développeurs d’un logiciel de cryptographie open source vieux de dix ans suggèrent de reposer sur une solution propriétaire fermée créée par une boite qui bosse avec la NSA.

Le 1er avril, c’était il y a deux mois.
Avatar de air-dex air-dex - Membre émérite http://www.developpez.com
le 30/05/2014 à 13:44
Citation Envoyé par Hinault Romaric  Voir le message
Que pensez-vous de son abandon ?

Quel abandon ? Je n'imagine pas TrueCrypt ne pas se faire forker. Rendez-vous donc dans quelque temps pour connaître le nom du fork qui prendra (officiellement) sa suite.

Citation Envoyé par Hinault Romaric  Voir le message
Quel scénario de son abandon vous semble le plus probable ?

J'opterais pour celui de la NSA. J'avais lu il y a quelques temps que le FBI ne savait pas cracker les conteneurs TrueCrypt afin d'y découvrir les preuves qu'ils peuvent contenir. Du coup il n'est pas impossible que la NSA ait fait pression sur les développeurs de TrueCrypt afin d'affaiblir le logiciel pour eux et qu'en réaction les devs de TrueCrypt aient fait comme Lavabit.

Après il faut aussi avouer que ce paragraphe là est fait par et pour les conspirationnistes (et qu'on n'a pas fini d'en entendre parler si c'est vrai) :

Citation Envoyé par Hinault Romaric  Voir le message
Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

Avatar de rthomas rthomas - Membre du Club http://www.developpez.com
le 30/05/2014 à 13:47
Truecrypt version Windows n'utilise pas les socket (regardez le code http://truecrypt.ch ou utilisez Dependency Walker)
Donc une faille de sécurité (voler votre mot de passe) n'est possible que quand la partition cryptée est montée.
Quand la partition est montée n'importe quel logiciel peut accéder aux données.
Donc la notion de faille de sécurité n'a pas vraiment de sens.

=> Explication plausible de la fin de Truecrypt

Un bon petit buzz.
Avatar de sinople sinople - Membre chevronné http://www.developpez.com
le 30/05/2014 à 13:51
Le fait que les développeurs de TrueCrypt soient toujours rester anonyme est aussi un problème au niveau de la sécurité. Il est difficile de considérer un anonyme comme un tiers de confiance...
Avatar de marc.collin marc.collin - Membre confirmé http://www.developpez.com
le 30/05/2014 à 19:44
a-t'on une idée de la robustesse des solutions de cryptage de partition opensource sous Linux?
Avatar de Traroth2 Traroth2 - Expert éminent http://www.developpez.com
le 31/05/2014 à 18:33
Cependant, si la NSA a effectivement les moyens de faire stopper les projets de sécurisation un peu trop efficaces, il faut en prendre conscience et s'y opposer. Il serait utile qu'on ne reste pas dans le flou sur ce qui s'est passé et que les core-contributors du projet s'expriment.
Avatar de Elepole Elepole - Membre éprouvé http://www.developpez.com
le 01/06/2014 à 6:34
L'une des raison possible de cette fin serait l'absence de développeur compétent dans l’équipe restante. Ça vient d'une source non confirme (donc , a prendre avec des pincettes), et je ne pas confirme de moi même; mais le code du bootloader n’aurait pas eu d’évolution depuis 2005, due au départ du développeur responsable de ce code.
Je ne sais pas a quel point ces affirmation sont vrai (difficile de vérifier, tous les développeurs étant anonyme, et n'ayant pas accès au a un historique des sources), mais force est de constater que sur de nombreux point le logiciel n’évoluait plus (entre autre, le bootloader qui ne supporte pas UEFI ou encore GPT).

Mais pour moi cette explication me parait bancale: en 9 ans il aurait trouver personne capable de faire évoluer ce code ? Et en 9 ans il n’aurait jamais essayer de faire évoluer ce code eux même ? Possible mais étonnant. Tous comme la piste de la NSA, c'est possible, mais tous ce qu'on comme piste c'est une erreur de grammaire ... C'est un peu gros. (DE plus le code source de la version 7.2 ne laisse présager aucune backdoor potentiel, et ne présente aucune différence par rapport a la version 7.1a a part sur l’encryptions)

En gros, on est dans le flou, et a moins de retrouver l'un des auteur on ne saurât pas.
Avatar de GTSLASH GTSLASH - Inactif http://www.developpez.com
le 01/06/2014 à 8:28
Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité

Utiliser Internet n'est pas sûr, il peut contenir des failles de sécurité. CHAQUE programme ou technologie peu contenir des failles de sécurité. C'est pas nouveau, il faut s'en rappeler c'est tous. Les précaution sont a prendre autre part c'est tous.
Avatar de Cyrilange Cyrilange - Membre averti http://www.developpez.com
le 01/06/2014 à 14:15
J'ai une entière confiance en la version 7.1a de Truecrypt et j'attend les conclusions de la phase 2 de l'audit de sécurité qui commencera en juin et se terminera vers septembre. Je n'ai aucune intention d'arrêter de l'utiliser d'autant plus que la relève est en marche : http://www.truecrypt.ch/
Avatar de Plophy Plophy - Membre à l'essai http://www.developpez.com
le 05/06/2014 à 14:04
Citation Envoyé par Hinault Romaric  Voir le message
Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

À ma connaissance c'était le seul logiciel fiable de cryptage, même le FBI n'avait apparemment pas pu accéder aux données protégées par TrueCrypt. Sa disparition est tout simplement une catastrophe. Beaucoup de personnes dépendent de cette solution, parmi eux des journalistes et membre d'associations et activiste de par le monde. Dans certains cas l'accès à ces données peut directement mettre en danger des vies humaines.

Citation Envoyé par Hinault Romaric  Voir le message
Quel scénario de son abandon vous semble le plus probable ?

L'hypothèse que l'on peut lire parfois, selon laquelle les développeurs auraient simplement décidé d'abandonner le projet par manque d'intérêt, de temps, ou pour des raisons d'entente au sein de l'équipe, me semble tout bonnement absurde. Tout comme un supposé résultat peu encourageant d'un audit de sécurité.
Il est tout à fait concevable d'abandonner un projet open source, pour de nombreuses raisons, mais pas de cette manière et du jour au lendemain. Le site a été supprimé, ainsi que - et surtout - les exécutables des anciennes versions. Et tout cela en invoquant des raisons complètement hors de propos.

On a ici une équipe qui depuis 10ans proposait un logiciel de cryptographie haut de gamme, domaine pour le moins complexe. Un groupe donc sérieux, qui du jour au lendemain supprime son site et ses archives et qui conseille d'utiliser la solution de Microsoft ou d'installer un programme au hasard sur Linux. Nul besoin d'un sens critique aiguisé pour s'apercevoir qu'il y a ici quelque chose de suspect.
Offres d'emploi IT
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne
Analyste SI-métier (H/F)
Société Générale - Ile de France - Val-de-Marne
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil