Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

TrueCrypt : des audits de sécurité rassurent les utilisateurs du logiciel de chiffrement de disque
Le projet va-t-il redécoller?

Le , par Michael Guilloux

0PARTAGES

7  0 
« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. » C’est par ces mots que le site officiel de TrueCrypt a annoncé en Mai dernier que l’on ne pouvait plus faire confiance au logiciel de chiffrement qui compte des millions d’utilisateurs.

TrueCrypt est en fait un outil de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.

Le 28 mai 2014, les développeurs du projet ont annoncé la fin du développement sous prétexte de la fin du support de Windows XP par Microsoft ; un argument peu convaincant. Ils deviennent un peu plus convaincants en affirmant que le logiciel a été compromis. Ils proposent donc des solutions alternatives telles que BitLocker de Microsoft ou FileVault pour Mac. Mais contrairement à ces deux autres, TrueCrypt fonctionne sur plusieurs plateformes y compris Mac, Windows et Linux, ce qui lui donne un avantage comparatif.

Ces deux arguments n’arrivent cependant pas à convaincre la communauté informatique, qui d’ailleurs évoque d’autres raisons qui pourraient être plausibles. D’un côté, il est dit que les développeurs anonymes de TrueCrypt auraient été piratés. D’autres encore affirment que les développeurs ont décidé d’abandonner le projet parce qu’il y aurait une faille importante beaucoup trop difficile à corriger. Quelle que soit la raison, ce qui semblait plus évoqué est que la NSA avait demandé aux développeurs d’introduire une porte dérobée dans l’outil. Autrement dit, une fonctionnalité inconnue de l'utilisateur légitime, qui donnerait un accès secret au logiciel. Cela permettrait ainsi à l’agence américaine de violer, incognito, la sécurité des utilisateurs. Les développeurs auraient donc mis fin au projet plutôt que de céder à la demande de la NSA.

Bref, il est ressorti de toutes ces spéculations qu’on ne pouvait plus faire confiance au projet à moins qu’un audit informatique vienne clarifier les choses.

C’est dans ce cadre qu’une mission d’audit - déjà en cours à l'époque - a été accélérée pour s’enquérir de la sécurité de TrueCrypt.

Pour les demandeurs de confidentialité et de sécurité, l’audit sur les fondements cryptographiques de TrueCrypt – actuellement à sa phase 2 – a révélé qu’il n’y avait pas de défauts graves sur l’outil de sorte à pouvoir compromettre la sécurité des utilisateurs. C’est ce qui ressort du rapport d’audit livré par les chercheurs de NCC Security Services, spécialistes en sécurité d’information.

« Le TLDR est que, basé sur cet audit, TrueCrypt se présente comme une pièce de logiciel de crypto relativement bien conçue, » a dit Matt Green, auditeur et professeur spécialisé dans la cryptographie à l'Université Johns Hopkins. « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »

Toutefois, Green poursuit pour dire que cela ne signifie pas que TrueCrypt est parfait. « Les auditeurs ont trouvé quelques pépins et un peu de programmation imprudente - pouvant conduire à quelques problèmes qui pourraient, dans les bonnes circonstances, emmener Truecrypt à fournir moins d'assurance que nous le souhaiterions », a-t-il ajouté.

L'analyse a en fait permis de trouver quatre vulnérabilités dans l’outil de chiffrement. La plus grave, selon les auditeurs, « est une découverte relative à la version Windows du générateur de nombres aléatoires (RNG) de TrueCrypt, qui est responsable de la génération des clés qui chiffrent les volumes TrueCrypt ». Il est probable qu’un bug puisse permettre de prévoir les clés de chiffrement générées par le RNG, ce qui « peut mener au désastre pour la sécurité », a dit Matt Green. L’auditeur précise toutefois que la probabilité que cela se produise reste extrêmement faible en rassurant que - comme les autres défauts qui sont de gravité plus faible - le défaut sera fixé.

Sources: Blog Cryptography Engineering, Open Crypto Audit (pdf)

Et vous ?

Utilisez-vous TrueCrypt ? Qu’en pensez-vous ?

Que sera l’avenir du projet TrueCrypt ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 05/04/2015 à 13:53
Citation Envoyé par benjani13 Voir le message
Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
À ce qu'il paraît, il y "aurait" une faille majeure...

... sauf qu'ils ne disent pas laquelle

... et cette histoire de "faille majeure" semble assez suspecte (on soupconne la NSA d'avoir mis le nez là dedans et d'avoir fait pression sur les développeurs, qui ne peuvent rien dire à ce sujet et doivent rester évasifs)

... à la place, ils préconisent d'utiliser des solutions comme... BitLocker ou FileVault (solutions propriétaires implémentés par des sociétés sous juridiction américaine; on ne peut pas regarder le code pour vérifier qu'il n'existe pas de backdoor)

... des audits trouvent bien quelques pistes qui pourraient éventuellement poser problème à terme, mais rien qui ne le rende complètement obsolète pour le moment (à l'inverse d'algos comme MD5)

Donc au final, la question c'est "en qui avoir confiance ? :
- en des solutions open-source comme TruCrypt ou dérivés, qui selon certaines rumeurs auraient des failles critiques (mais on ne nous dit pas lesquelles)
- ou en des logiciels fermés comme BitLocker ?"
5  0 
Avatar de Jitou
Membre averti https://www.developpez.com
Le 05/04/2015 à 8:07
Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

http://sourceforge.net/projects/veracrypt
3  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 24/11/2015 à 3:39
Citation Envoyé par cuicui78 Voir le message
ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..
Perso je reste sur l'hypothèse du "Not Secure As" de l'ultime version de TrueCrypt. La NSA avait du mal avec TrueCrypt, ils ont alors décidé de mettre un coup de pression auprès des développeurs de TC pour y obtenir leur porte dérobée (comme avec Yahoo!, Google, Microsoft et toutes les grosses autres sociétés de PRISM qui rappelons-le n'ont pas nécessairement toutes souscrit à ce programme de gaieté de coeur), mais les développeurs de TC ont préféré saborder le logiciel plutôt que de le faire vivre avec cette malhonnête backdoor.

Les audits réalisés ne discréditent d'ailleurs pas le logiciel AMHA. TrueCrypt 7.1.a est et restera un très bon logiciel, et comme tout logiciel celui-ci ne sera jamais parfait avec zéro bugs connus ou pas. C'est juste que les médias ne parlent que des quelques bugs que les auditeurs de TC ont réussi à trouver.
2  0 
Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 05/04/2015 à 14:34
Citation Envoyé par benjani13 Voir le message
Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.
Bon, en même temps, tout ce que je sais en cryptographie, c'est ce que me disent les média, à savoir :

- TruCrypt, c'est pas bien, il faut pas l'utiliser

- BitLocker, c'est mieux.
Mais si vous n'avez rien à cacher, pourquoi encrypter vos fichiers ?

- il y a des méchants virus qui viennent crypter vos fichiers et vous demandent de l'argent. Si vous vous retrouvez avec des fichiers bizarres que vous ne pouvez pas ouvrir, c'est un virus.

Et je les crois. Comme disait feue ma grand-mère, "si ça passe à la télé, c'est que ça doit être vrai...".
1  0 
Avatar de ouiouioui
Membre expérimenté https://www.developpez.com
Le 09/04/2015 à 10:44
BitLocker même la police Française à les moyens d'y décrypter ...
1  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 23/11/2015 à 10:06
Citation Envoyé par benjani13 Voir le message
Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
Oui, mais non : VeraCrypt est certes un fork de TrueCrypt, mais il corrige les failles qui ont été découvertes justement.
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 23/11/2015 à 19:15
Citation Envoyé par Traroth2 Voir le message
C'est à dire ? Quel logiciel de cryptage de disque a un comportement qui fiable, sans porte dérobée, de manière vérifiable ?
un logiciel que tu te fait toi meme.
comme on peut plus avoir confiance, on est obligé de devenir des expert. c'est triste.

ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..
2  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 05/04/2015 à 12:26
Citation Envoyé par Jitou Voir le message
Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

http://sourceforge.net/projects/veracrypt
Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 05/04/2015 à 14:09
Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.
0  0 
Avatar de redcurve
Membre éclairé https://www.developpez.com
Le 06/04/2015 à 14:13
Citation Envoyé par pcaboche Voir le message
Bon, en même temps, tout ce que je sais en cryptographie, c'est ce que me disent les média, à savoir :

- TruCrypt, c'est pas bien, il faut pas l'utiliser

- BitLocker, c'est mieux.
Mais si vous n'avez rien à cacher, pourquoi encrypter vos fichiers ?

- il y a des méchants virus qui viennent crypter vos fichiers et vous demandent de l'argent. Si vous vous retrouvez avec des fichiers bizarres que vous ne pouvez pas ouvrir, c'est un virus.

Et je les crois. Comme disait feue ma grand-mère, "si ça passe à la télé, c'est que ça doit être vrai...".
BitLocker est pas mal, mais peu utilisé en effet pour une sécurité maximal MS recommande de produire soit même les puces TPM donc ça demande de maitriser une partie de la chaine de prod des machines
0  0