« TrueCrypt est plus sûr que les examens précédents le suggèrent »
Conclut un audit réalisé par Secure Software Engineering
Le 2015-11-23 09:28:12, par Michael Guilloux, Chroniqueur Actualités
Un nouvel audit de TrueCrypt, réalisé par Secure Software Engineering et financé par l’Office fédéral allemand pour la sécurité de l’information (BSI), vient de livrer ses résultats. La conclusion tirée par les chercheurs qui ont examiné le logiciel semble affranchir TrueCrypt de toutes les menaces de sécurité élevées auxquelles il a dû faire face ces deux dernières années.
Rappelons-le, TrueCrypt est un logiciel de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.
Géré par des développeurs anonymes, le projet TrueCrypt a été abandonné en mai 2014 par ces derniers, laissant derrière eux de nombreux utilisateurs exposés à d’éventuels risques de sécurité élevés. Cela a également donné naissance à un vif débat sur les véritables raisons de l’abandon du développement de la solution de chiffrement.
Des raisons de sécurité étant évoquées pour justifier la fin du projet, une mission d’audit, déjà en cours à l’époque, a été accélérée pour clarifier les choses. Cette analyse du code de TrueCrypt a voulu rassurer les utilisateurs du logiciel de chiffrement de disque, toutefois, les résultats indiquaient quelques failles de sécurité dont la plus grave pourrait permettre à un attaquant de deviner la clé de chiffrement. Les résultats du nouvel audit de sécurité sont plus rassurants et les chercheurs concluent que « TrueCrypt est plus sûr que les examens précédents le suggèrent ».
Dans leur étude de la vulnérabilité de TrueCrypt, ils se sont intéressés tant à la conception qu’au code du programme. Et dans la réalisation de cette tâche, ils ont également considéré et examiné les résultats des évaluations de sécurité antérieures. Cela leur a permis de dire que les vulnérabilités critiques reportées ne sont exploitables que théoriquement.
Par exemple, parmi des vulnérabilités reportées dans le composant pilote il y a un mois, Project Zero de Google a révélé une faille critique qui permet à un code malveillant qui a déjà accès au système d’acquérir une élévation de privilèges. Les chercheurs estiment que ce genre de failles n’est pas intrinsèque à TrueCrypt et que des problèmes similaires pourraient survenir avec tout pilote de niveau noyau. En plus, cette faille « ne fournit pas à un attaquant un accès simplifié à des données chiffrées », ont-ils expliqué. « Pour exploiter cette vulnérabilité, l’attaquant doit avoir un large accès au système de toute façon, par exemple, via un cheval de Troie ou une autre forme d’accès direct ou à distance ».
D’autres vulnérabilités critiques ont été révélées dans le rapport de l’Open Crypto Audit Project (OCAP) livré en avril dernier. Il s’agit d’une vulnérabilité de dépassement de tampon et d’une autre dans la génération des clés de chiffrement sur Windows.
En utilisant des outils d’analyse statique tels que la machine virtuelle KLEE, l’étude financée par la BSI a été en mesure de prouver que les débordements de tampon mis en avant dans le rapport de l’OCAP « ne peuvent pas réellement se produire lors de l’exécution, et éventuellement ne peuvent donc pas être exploités ».
Dans leur rapport, les chercheurs de Secure Software Engineering ont également trouvé des failles dans la façon dont TrueCrypt récupère les nombres aléatoires qu’il utilise pour le chiffrement. Ils confirment donc, comme dans le rapport de l’OCAP, qu’un attaquant peut théoriquement facilement deviner la clé de chiffrement. Mais le problème se produit uniquement « en mode non interactif », ou lors de l’utilisation de certaines politiques de contrôle d’accès sur Windows. Pour cette raison, ils estiment qu’il est peu probable que ce problème ait réellement affecté des utilisateurs. Toutefois, pour se mettre à l’abri, ils suggèrent de rechiffrer les volumes avec une version de TrueCrypt dans laquelle ce défaut a été corrigé.
Pour conclure, les chercheurs affirment que TrueCrypt n’est pas aussi vulnérable qu’on pouvait le penser. « Les défauts que nous avons trouvés étaient mineurs, et des défauts semblables peuvent se produire aussi dans toute autre implémentation de fonctions cryptographiques », ont-ils résumé. « En ce sens, TrueCrypt ne semble pas mieux ou pire que ses alternatives. La qualité de code pourrait être améliorée… Mais en général, le logiciel fait ce pour quoi il a été conçu. »
Source : Secure Software Engineering
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Forum Sécurité
Rappelons-le, TrueCrypt est un logiciel de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.
Géré par des développeurs anonymes, le projet TrueCrypt a été abandonné en mai 2014 par ces derniers, laissant derrière eux de nombreux utilisateurs exposés à d’éventuels risques de sécurité élevés. Cela a également donné naissance à un vif débat sur les véritables raisons de l’abandon du développement de la solution de chiffrement.
Des raisons de sécurité étant évoquées pour justifier la fin du projet, une mission d’audit, déjà en cours à l’époque, a été accélérée pour clarifier les choses. Cette analyse du code de TrueCrypt a voulu rassurer les utilisateurs du logiciel de chiffrement de disque, toutefois, les résultats indiquaient quelques failles de sécurité dont la plus grave pourrait permettre à un attaquant de deviner la clé de chiffrement. Les résultats du nouvel audit de sécurité sont plus rassurants et les chercheurs concluent que « TrueCrypt est plus sûr que les examens précédents le suggèrent ».
Dans leur étude de la vulnérabilité de TrueCrypt, ils se sont intéressés tant à la conception qu’au code du programme. Et dans la réalisation de cette tâche, ils ont également considéré et examiné les résultats des évaluations de sécurité antérieures. Cela leur a permis de dire que les vulnérabilités critiques reportées ne sont exploitables que théoriquement.
Par exemple, parmi des vulnérabilités reportées dans le composant pilote il y a un mois, Project Zero de Google a révélé une faille critique qui permet à un code malveillant qui a déjà accès au système d’acquérir une élévation de privilèges. Les chercheurs estiment que ce genre de failles n’est pas intrinsèque à TrueCrypt et que des problèmes similaires pourraient survenir avec tout pilote de niveau noyau. En plus, cette faille « ne fournit pas à un attaquant un accès simplifié à des données chiffrées », ont-ils expliqué. « Pour exploiter cette vulnérabilité, l’attaquant doit avoir un large accès au système de toute façon, par exemple, via un cheval de Troie ou une autre forme d’accès direct ou à distance ».
D’autres vulnérabilités critiques ont été révélées dans le rapport de l’Open Crypto Audit Project (OCAP) livré en avril dernier. Il s’agit d’une vulnérabilité de dépassement de tampon et d’une autre dans la génération des clés de chiffrement sur Windows.
En utilisant des outils d’analyse statique tels que la machine virtuelle KLEE, l’étude financée par la BSI a été en mesure de prouver que les débordements de tampon mis en avant dans le rapport de l’OCAP « ne peuvent pas réellement se produire lors de l’exécution, et éventuellement ne peuvent donc pas être exploités ».
Dans leur rapport, les chercheurs de Secure Software Engineering ont également trouvé des failles dans la façon dont TrueCrypt récupère les nombres aléatoires qu’il utilise pour le chiffrement. Ils confirment donc, comme dans le rapport de l’OCAP, qu’un attaquant peut théoriquement facilement deviner la clé de chiffrement. Mais le problème se produit uniquement « en mode non interactif », ou lors de l’utilisation de certaines politiques de contrôle d’accès sur Windows. Pour cette raison, ils estiment qu’il est peu probable que ce problème ait réellement affecté des utilisateurs. Toutefois, pour se mettre à l’abri, ils suggèrent de rechiffrer les volumes avec une version de TrueCrypt dans laquelle ce défaut a été corrigé.
Pour conclure, les chercheurs affirment que TrueCrypt n’est pas aussi vulnérable qu’on pouvait le penser. « Les défauts que nous avons trouvés étaient mineurs, et des défauts semblables peuvent se produire aussi dans toute autre implémentation de fonctions cryptographiques », ont-ils résumé. « En ce sens, TrueCrypt ne semble pas mieux ou pire que ses alternatives. La qualité de code pourrait être améliorée… Mais en général, le logiciel fait ce pour quoi il a été conçu. »
Source : Secure Software Engineering
Et vous ?
Voir aussi
-
air-dexMembre expertPerso je reste sur l'hypothèse du "Not Secure As" de l'ultime version de TrueCrypt. La NSA avait du mal avec TrueCrypt, ils ont alors décidé de mettre un coup de pression auprès des développeurs de TC pour y obtenir leur porte dérobée (comme avec Yahoo!, Google, Microsoft et toutes les grosses autres sociétés de PRISM qui rappelons-le n'ont pas nécessairement toutes souscrit à ce programme de gaieté de coeur), mais les développeurs de TC ont préféré saborder le logiciel plutôt que de le faire vivre avec cette malhonnête backdoor.
Les audits réalisés ne discréditent d'ailleurs pas le logiciel AMHA. TrueCrypt 7.1.a est et restera un très bon logiciel, et comme tout logiciel celui-ci ne sera jamais parfait avec zéro bugs connus ou pas. C'est juste que les médias ne parlent que des quelques bugs que les auditeurs de TC ont réussi à trouver.le 24/11/2015 à 3:39 -
VolgaanMembre confirméOui, mais non : VeraCrypt est certes un fork de TrueCrypt, mais il corrige les failles qui ont été découvertes justement.le 23/11/2015 à 10:06
-
AiekickMembre extrêmement actifun logiciel que tu te fait toi meme.
comme on peut plus avoir confiance, on est obligé de devenir des expert. c'est triste.
ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..le 23/11/2015 à 19:15 -
rthomasMembre du ClubJ'ai toujours bien rigolé avec cette histoire TrueCrypt.
Soit il ne tourne pas et donc impossible de lire les données cryptés.
Soit il tourne et dans ce cas les données sont en clair.
Donc une faille, ok, mais pour quoi faire? Devenir admin sur Windows? Je pense que MS à du corriger depuis un moment.
Rémile 23/11/2015 à 9:51 -
Traroth2Membre émériteC'est à dire ? Quel logiciel de cryptage de disque a un comportement qui fiable, sans porte dérobée, de manière vérifiable ?le 23/11/2015 à 10:28
-
Traroth2Membre émériteEn fait l'URL de VeraCrypt, c'est https://veracrypt.codeplex.com/le 23/11/2015 à 10:56
-
Chauve sourisMembre expertEffectivement c'était une grosse intox de la NSA en forme de coup de bluf sur TrueCrypt. Le seul logiciel sur lequel ils se cassaient les dents décrété compromis. Un peu gros tout de même
A savoir : si on ne peut pas aller voir ce qu'il y a dans votre fichier TrueCrypt on peut toutefois savoir qu'il existe, même si, bien sûr, vous n'utilisez pas l'extension .tc. Ce petit logiciel fouineur s'appelle TCHunt et peut scanner un disque dur. Le berner est assez simple : vous encodez votre fichier TrueCrypt avec WinRar (ou équivalent) vous mettez une extension qu'on ne soupçonnera pas (dat, dll) et votre fichier est alors vraiment secret.le 24/11/2015 à 5:03 -
Traroth2Membre émériteOn ne peut pas être expert en tout, et tout le monde ne va pas pouvoir devenir expert en sécurité informatique.
Parfaitement d'accord.le 24/11/2015 à 10:26 -
Traroth2Membre émériteIl faut arrêter de confondre faille et backdoor, pour commencer. Il y a une différence entre une application qui a ses bugs éventuellement exploitables et une application qui contient des portes dérobées créées délibérément.le 24/11/2015 à 10:29