IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

TrueCrypt : la fin mystérieuse de la solution de chiffrement

  1. #21
    MikeRowSoft
    Invité(e)
    Par défaut
    J'espère que se ne sera pas partout. Heureusement que les administrateurs et administratrices de systèmes d'informations ne quitte pas brutalement leurs travails sans que personnes ne sachent comment reprendre le contrôle.

  2. #22
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Singapour

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 785
    Points : 9 688
    Points
    9 688
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.
    Bon, en même temps, tout ce que je sais en cryptographie, c'est ce que me disent les média, à savoir :

    - TruCrypt, c'est pas bien, il faut pas l'utiliser

    - BitLocker, c'est mieux.
    Mais si vous n'avez rien à cacher, pourquoi encrypter vos fichiers ?

    - il y a des méchants virus qui viennent crypter vos fichiers et vous demandent de l'argent. Si vous vous retrouvez avec des fichiers bizarres que vous ne pouvez pas ouvrir, c'est un virus.


    Et je les crois. Comme disait feue ma grand-mère, "si ça passe à la télé, c'est que ça doit être vrai...".
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  3. #23
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 383
    Points
    1 383
    Par défaut
    TrueCrypt fiable pour les uns... Par fiable pour les autres?

    Le FBI pouvait... Ou ne pouvait pas décrypter TrueCrypt?

    TrueCrypt aurait... Ou n'aurait pas été la victime de la NSA?


    On peut ergoter à l'infini... Aucun des membres de ce forum n'a les moyens de connaître la vérité! On en est au niveau de la croyance comme pour la religion avec les fervents croyants et les vilains athés!!!

    Alors un conseil: Rester en à ce qui est vérifiable par vous-même!!!

  4. #24
    Membre extrêmement actif
    Profil pro
    Inscrit en
    juin 2010
    Messages
    756
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2010
    Messages : 756
    Points : 901
    Points
    901
    Par défaut
    Citation Envoyé par pcaboche Voir le message
    Bon, en même temps, tout ce que je sais en cryptographie, c'est ce que me disent les média, à savoir :

    - TruCrypt, c'est pas bien, il faut pas l'utiliser

    - BitLocker, c'est mieux.
    Mais si vous n'avez rien à cacher, pourquoi encrypter vos fichiers ?

    - il y a des méchants virus qui viennent crypter vos fichiers et vous demandent de l'argent. Si vous vous retrouvez avec des fichiers bizarres que vous ne pouvez pas ouvrir, c'est un virus.


    Et je les crois. Comme disait feue ma grand-mère, "si ça passe à la télé, c'est que ça doit être vrai...".
    BitLocker est pas mal, mais peu utilisé en effet pour une sécurité maximal MS recommande de produire soit même les puces TPM donc ça demande de maitriser une partie de la chaine de prod des machines

  5. #25
    Membre éclairé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    juin 2011
    Messages
    412
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2011
    Messages : 412
    Points : 804
    Points
    804
    Par défaut TCnext
    Le projet n'est pas mort il a été repris par des développeurs non anonyme et se situe en Suisse

  6. #26
    Membre éclairé
    Femme Profil pro
    Inscrit en
    juillet 2012
    Messages
    229
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : juillet 2012
    Messages : 229
    Points : 826
    Points
    826
    Par défaut Il n'y a pas de failles majeures!
    « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »
    C'est la NAS qui a dit de ne plus utiliser TrueCript... Si vous y croyez

  7. #27
    Inactif
    Femme Profil pro
    Ergonome
    Inscrit en
    décembre 2014
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Ergonome

    Informations forums :
    Inscription : décembre 2014
    Messages : 16
    Points : 23
    Points
    23
    Par défaut TPM
    Le principal problème de TrueCrypt reste de ne pas utiliser le TPM.

  8. #28
    Membre expérimenté
    Avatar de ouiouioui
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    août 2006
    Messages
    973
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2006
    Messages : 973
    Points : 1 393
    Points
    1 393
    Par défaut
    BitLocker même la police Française à les moyens d'y décrypter ...
    Il existe 3 sortes de gens: ceux qui savent compter et ceux qui ne savent pas.

  9. #29
    Inactif
    Femme Profil pro
    Ergonome
    Inscrit en
    décembre 2014
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Ergonome

    Informations forums :
    Inscription : décembre 2014
    Messages : 16
    Points : 23
    Points
    23
    Par défaut
    Citation Envoyé par ouiouioui Voir le message
    BitLocker même la police Française à les moyens d'y décrypter ...
    depuis quand?

  10. #30
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 482
    Points : 78 537
    Points
    78 537
    Billets dans le blog
    2
    Par défaut « TrueCrypt est plus sûr que les examens précédents le suggèrent »
    « TrueCrypt est plus sûr que les examens précédents le suggèrent »
    Conclut un audit commandité par l’Office fédéral allemand pour la sécurité des TIC

    Un nouvel audit de TrueCrypt, réalisé par Secure Software Engineering et financé par l’Office fédéral allemand pour la sécurité de l’information (BSI), vient de livrer ses résultats. La conclusion tirée par les chercheurs qui ont examiné le logiciel semble affranchir TrueCrypt de toutes les menaces de sécurité élevées auxquelles il a dû faire face ces deux dernières années.

    Rappelons-le, TrueCrypt est un logiciel de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.

    Géré par des développeurs anonymes, le projet TrueCrypt a été abandonné en mai 2014 par ces derniers, laissant derrière eux de nombreux utilisateurs exposés à d’éventuels risques de sécurité élevés. Cela a également donné naissance à un vif débat sur les véritables raisons de l’abandon du développement de la solution de chiffrement.

    Des raisons de sécurité étant évoquées pour justifier la fin du projet, une mission d’audit, déjà en cours à l’époque, a été accélérée pour clarifier les choses. Cette analyse du code de TrueCrypt a voulu rassurer les utilisateurs du logiciel de chiffrement de disque, toutefois, les résultats indiquaient quelques failles de sécurité dont la plus grave pourrait permettre à un attaquant de deviner la clé de chiffrement. Les résultats du nouvel audit de sécurité sont plus rassurants et les chercheurs concluent que « TrueCrypt est plus sûr que les examens précédents le suggèrent ».

    Dans leur étude de la vulnérabilité de TrueCrypt, ils se sont intéressés tant à la conception qu’au code du programme. Et dans la réalisation de cette tâche, ils ont également considéré et examiné les résultats des évaluations de sécurité antérieures. Cela leur a permis de dire que les vulnérabilités critiques reportées ne sont exploitables que théoriquement.

    Par exemple, parmi des vulnérabilités reportées dans le composant pilote il y a un mois, Project Zero de Google a révélé une faille critique qui permet à un code malveillant qui a déjà accès au système d’acquérir une élévation de privilèges. Les chercheurs estiment que ce genre de failles n’est pas intrinsèque à TrueCrypt et que des problèmes similaires pourraient survenir avec tout pilote de niveau noyau. En plus, cette faille « ne fournit pas à un attaquant un accès simplifié à des données chiffrées », ont-ils expliqué. « Pour exploiter cette vulnérabilité, l’attaquant doit avoir un large accès au système de toute façon, par exemple, via un cheval de Troie ou une autre forme d’accès direct ou à distance ».

    D’autres vulnérabilités critiques ont été révélées dans le rapport de l’Open Crypto Audit Project (OCAP) livré en avril dernier. Il s’agit d’une vulnérabilité de dépassement de tampon et d’une autre dans la génération des clés de chiffrement sur Windows.

    En utilisant des outils d’analyse statique tels que la machine virtuelle KLEE, l’étude financée par la BSI a été en mesure de prouver que les débordements de tampon mis en avant dans le rapport de l’OCAP « ne peuvent pas réellement se produire lors de l’exécution, et éventuellement ne peuvent donc pas être exploités ».

    Dans leur rapport, les chercheurs de Secure Software Engineering ont également trouvé des failles dans la façon dont TrueCrypt récupère les nombres aléatoires qu’il utilise pour le chiffrement. Ils confirment donc, comme dans le rapport de l’OCAP, qu’un attaquant peut théoriquement facilement deviner la clé de chiffrement. Mais le problème se produit uniquement « en mode non interactif », ou lors de l’utilisation de certaines politiques de contrôle d’accès sur Windows. Pour cette raison, ils estiment qu’il est peu probable que ce problème ait réellement affecté des utilisateurs. Toutefois, pour se mettre à l’abri, ils suggèrent de rechiffrer les volumes avec une version de TrueCrypt dans laquelle ce défaut a été corrigé.

    Pour conclure, les chercheurs affirment que TrueCrypt n’est pas aussi vulnérable qu’on pouvait le penser. « Les défauts que nous avons trouvés étaient mineurs, et des défauts semblables peuvent se produire aussi dans toute autre implémentation de fonctions cryptographiques », ont-ils résumé. « En ce sens, TrueCrypt ne semble pas mieux ou pire que ses alternatives. La qualité de code pourrait être améliorée… Mais en général, le logiciel fait ce pour quoi il a été conçu. »

    Source : Secure Software Engineering

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  11. #31
    Membre du Club
    Profil pro
    Inscrit en
    août 2007
    Messages
    45
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 45
    Points : 63
    Points
    63
    Par défaut
    J'ai toujours bien rigolé avec cette histoire TrueCrypt.

    Soit il ne tourne pas et donc impossible de lire les données cryptés.
    Soit il tourne et dans ce cas les données sont en clair.

    Donc une faille, ok, mais pour quoi faire? Devenir admin sur Windows? Je pense que MS à du corriger depuis un moment.

    Rémi

  12. #32
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2011
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : janvier 2011
    Messages : 203
    Points : 507
    Points
    507
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
    Oui, mais non : VeraCrypt est certes un fork de TrueCrypt, mais il corrige les failles qui ont été découvertes justement.

  13. #33
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 288
    Points
    2 288
    Par défaut
    Citation Envoyé par NSKis Voir le message
    On peut ergoter à l'infini... Aucun des membres de ce forum n'a les moyens de connaître la vérité! On en est au niveau de la croyance comme pour la religion avec les fervents croyants et les vilains athés!!!

    Alors un conseil: Rester en à ce qui est vérifiable par vous-même!!!
    C'est à dire ? Quel logiciel de cryptage de disque a un comportement qui fiable, sans porte dérobée, de manière vérifiable ?

  14. #34
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 288
    Points
    2 288
    Par défaut
    Citation Envoyé par Jitou Voir le message
    Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

    http://sourceforge.net/projects/veracrypt
    En fait l'URL de VeraCrypt, c'est https://veracrypt.codeplex.com/

  15. #35
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 248
    Points : 2 863
    Points
    2 863
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    C'est à dire ? Quel logiciel de cryptage de disque a un comportement qui fiable, sans porte dérobée, de manière vérifiable ?
    un logiciel que tu te fait toi meme.
    comme on peut plus avoir confiance, on est obligé de devenir des expert. c'est triste.

    ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
    C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..

  16. #36
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 621
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 621
    Points : 3 644
    Points
    3 644
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
    C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..
    Perso je reste sur l'hypothèse du "Not Secure As" de l'ultime version de TrueCrypt. La NSA avait du mal avec TrueCrypt, ils ont alors décidé de mettre un coup de pression auprès des développeurs de TC pour y obtenir leur porte dérobée (comme avec Yahoo!, Google, Microsoft et toutes les grosses autres sociétés de PRISM qui rappelons-le n'ont pas nécessairement toutes souscrit à ce programme de gaieté de coeur), mais les développeurs de TC ont préféré saborder le logiciel plutôt que de le faire vivre avec cette malhonnête backdoor.

    Les audits réalisés ne discréditent d'ailleurs pas le logiciel AMHA. TrueCrypt 7.1.a est et restera un très bon logiciel, et comme tout logiciel celui-ci ne sera jamais parfait avec zéro bugs connus ou pas. C'est juste que les médias ne parlent que des quelques bugs que les auditeurs de TC ont réussi à trouver.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  17. #37
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 1 186
    Points : 3 000
    Points
    3 000
    Par défaut Comment ne pas détecter un fichier TrueCrypt
    Effectivement c'était une grosse intox de la NSA en forme de coup de bluf sur TrueCrypt. Le seul logiciel sur lequel ils se cassaient les dents décrété compromis. Un peu gros tout de même

    A savoir : si on ne peut pas aller voir ce qu'il y a dans votre fichier TrueCrypt on peut toutefois savoir qu'il existe, même si, bien sûr, vous n'utilisez pas l'extension .tc. Ce petit logiciel fouineur s'appelle TCHunt et peut scanner un disque dur. Le berner est assez simple : vous encodez votre fichier TrueCrypt avec WinRar (ou équivalent) vous mettez une extension qu'on ne soupçonnera pas (dat, dll) et votre fichier est alors vraiment secret.
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  18. #38
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 288
    Points
    2 288
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    un logiciel que tu te fait toi meme.
    comme on peut plus avoir confiance, on est obligé de devenir des expert. c'est triste.
    On ne peut pas être expert en tout, et tout le monde ne va pas pouvoir devenir expert en sécurité informatique.

    Citation Envoyé par cuicui78 Voir le message
    ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
    C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..
    Parfaitement d'accord.

  19. #39
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 288
    Points
    2 288
    Par défaut
    Il faut arrêter de confondre faille et backdoor, pour commencer. Il y a une différence entre une application qui a ses bugs éventuellement exploitables et une application qui contient des portes dérobées créées délibérément.

Discussions similaires

  1. Est ce que la fin du C est proche ou pas ?
    Par Nasky dans le forum C
    Réponses: 116
    Dernier message: 13/12/2016, 15h23
  2. [XSLT][JSP] solution technique pour cas typique
    Par Alix_10 dans le forum XSL/XSLT/XPATH
    Réponses: 3
    Dernier message: 04/09/2006, 13h09
  3. Les Cookies 4° ! : LA SOLUTION
    Par Ph. B. dans le forum XMLRAD
    Réponses: 2
    Dernier message: 31/01/2003, 16h46
  4. Fin de programme dans une procédure
    Par Sinclair dans le forum Langage
    Réponses: 13
    Dernier message: 29/11/2002, 22h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo