Discussion :

[Hinault Romaric]

« Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité »
la fin mystérieuse de la solution de chiffrement

Après la faille Heartbleed dans OpenSSL, des informations concernant l’outil de chiffrement open source TrueCrypt viennent à nouveau bouleverser l’écosystème de la sécurité sur internet. Une des pages officielles de l’outil affiche un mystérieux message affirmant que le développement de TrueCrypt a été arrêté et que les utilisateurs doivent cesser d’avoir recours à celui-ci.

« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. Cette page existe seulement pour faciliter la migration des données existantes chiffrées par TrueCrypt. Le développement de TrueCrypt a été abandonné le 5/2014, après que Microsoft ait mis fin au support de Windows XP. », peut-on lire sur la page d’hébergement du projet sur Sourceforge.

Pour rappel, TrueCrypt est un célèbre outil de chiffrement qui existe depuis plus d’une décennie, permettant de sécuriser les données d’un espace de stockage (disque dur par exemple), en chiffrant celui-ci.

Cette brusque annonce autour de laquelle règne un flou total n’a pas manqué de créer une grosse polémique et plusieurs spéculations sur les raisons réelles de cette annonce.

Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

D’autres voient en cette fin un canular des pirates, qui auraient hacké la plateforme d’hébergement du projet. Un autre scénario évoqué serait la découverte d’une faille importante qui était beaucoup trop complexe à corriger pour les développeurs. Au lieu de divulguer celle-ci publiquement, il aurait décidé de mettre fin au projet. Un conflit entre les développeurs du projet a été également avancé.

Sur la plateforme d’hébergement du projet, la version 7.2 de TrueCrypt est disponible en téléchargement et Brian Krebs, un expert en sécurité écarte le scénario du piratage, car il n’y aurait pas eu des changements récents dans les données d’identification du site et la dernière version de l’outil utilise la même clé de sécurité que la version précédente.

Pour lui, ces deux faits montrent que le message est légitime et que TrueCrypt a officiellement pris sa retraite. La version 7.2 de TrueCrypt ne permet que de déchiffrer les données pour procéder à leur migration. La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

Un groupe de développeurs (Thomas Bruderer et Joseph Doekbrijder) a déjà pris l’initiative de faire renaitre le projet. Sur le site http://truecrypt.ch/ qui vient d’être lancé par ceux-ci, on peut lire le message « TrueCrypt ne doit pas mourir ». Ceux-ci espèrent être rejoints rapidement par d’autres développeurs pour organiser l’avenir de TrueCrypt.

Pour l’instant, le mystère règne sur la fin de TrueCrypt et chacun y va de son commentaire. Affaire à suivre.


Source : Le site du projet, billet de blog de Brian Krebs


Et vous ?

Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

Quel scénario de son abandon vous semble le plus probable ?

[Voyvode]

La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

Les développeurs d’un logiciel de cryptographie open source vieux de dix ans suggèrent de reposer sur une solution propriétaire fermée créée par une boite qui bosse avec la NSA.

Le 1er avril, c’était il y a deux mois.

[air-dex]

Que pensez-vous de son abandon ?

Quel abandon ? Je n'imagine pas TrueCrypt ne pas se faire forker. Rendez-vous donc dans quelque temps pour connaître le nom du fork qui prendra (officiellement) sa suite.

Quel scénario de son abandon vous semble le plus probable ?

J'opterais pour celui de la NSA. J'avais lu il y a quelques temps que le FBI ne savait pas cracker les conteneurs TrueCrypt afin d'y découvrir les preuves qu'ils peuvent contenir. Du coup il n'est pas impossible que la NSA ait fait pression sur les développeurs de TrueCrypt afin d'affaiblir le logiciel pour eux et qu'en réaction les devs de TrueCrypt aient fait comme Lavabit.

Après il faut aussi avouer que ce paragraphe là est fait par et pour les conspirationnistes (et qu'on n'a pas fini d'en entendre parler si c'est vrai) :

Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

[rthomas]

Truecrypt version Windows n'utilise pas les socket (regardez le code http://truecrypt.ch ou utilisez Dependency Walker)
Donc une faille de sécurité (voler votre mot de passe) n'est possible que quand la partition cryptée est montée.
Quand la partition est montée n'importe quel logiciel peut accéder aux données.
Donc la notion de faille de sécurité n'a pas vraiment de sens.

=> Explication plausible de la fin de Truecrypt

Un bon petit buzz.

[sinople]

Le fait que les développeurs de TrueCrypt soient toujours rester anonyme est aussi un problème au niveau de la sécurité. Il est difficile de considérer un anonyme comme un tiers de confiance...

[marc.collin]

a-t'on une idée de la robustesse des solutions de cryptage de partition opensource sous Linux?

[Traroth2]

Cependant, si la NSA a effectivement les moyens de faire stopper les projets de sécurisation un peu trop efficaces, il faut en prendre conscience et s'y opposer. Il serait utile qu'on ne reste pas dans le flou sur ce qui s'est passé et que les core-contributors du projet s'expriment.

[Elepole]

L'une des raison possible de cette fin serait l'absence de développeur compétent dans l’équipe restante. Ça vient d'une source non confirme (donc , a prendre avec des pincettes), et je ne pas confirme de moi même; mais le code du bootloader n’aurait pas eu d’évolution depuis 2005, due au départ du développeur responsable de ce code.
Je ne sais pas a quel point ces affirmation sont vrai (difficile de vérifier, tous les développeurs étant anonyme, et n'ayant pas accès au a un historique des sources), mais force est de constater que sur de nombreux point le logiciel n’évoluait plus (entre autre, le bootloader qui ne supporte pas UEFI ou encore GPT).

Mais pour moi cette explication me parait bancale: en 9 ans il aurait trouver personne capable de faire évoluer ce code ? Et en 9 ans il n’aurait jamais essayer de faire évoluer ce code eux même ? Possible mais étonnant. Tous comme la piste de la NSA, c'est possible, mais tous ce qu'on comme piste c'est une erreur de grammaire ... C'est un peu gros. (DE plus le code source de la version 7.2 ne laisse présager aucune backdoor potentiel, et ne présente aucune différence par rapport a la version 7.1a a part sur l’encryptions)

En gros, on est dans le flou, et a moins de retrouver l'un des auteur on ne saurât pas.

[GTSLASH]

Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité

Utiliser Internet n'est pas sûr, il peut contenir des failles de sécurité. CHAQUE programme ou technologie peu contenir des failles de sécurité. C'est pas nouveau, il faut s'en rappeler c'est tous. Les précaution sont a prendre autre part c'est tous.

[Cyrilange]

J'ai une entière confiance en la version 7.1a de Truecrypt et j'attend les conclusions de la phase 2 de l'audit de sécurité qui commencera en juin et se terminera vers septembre. Je n'ai aucune intention d'arrêter de l'utiliser d'autant plus que la relève est en marche : http://www.truecrypt.ch/

[Plophy]

Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

À ma connaissance c'était le seul logiciel fiable de cryptage, même le FBI n'avait apparemment pas pu accéder aux données protégées par TrueCrypt. Sa disparition est tout simplement une catastrophe. Beaucoup de personnes dépendent de cette solution, parmi eux des journalistes et membre d'associations et activiste de par le monde. Dans certains cas l'accès à ces données peut directement mettre en danger des vies humaines.

Quel scénario de son abandon vous semble le plus probable ?

L'hypothèse que l'on peut lire parfois, selon laquelle les développeurs auraient simplement décidé d'abandonner le projet par manque d'intérêt, de temps, ou pour des raisons d'entente au sein de l'équipe, me semble tout bonnement absurde. Tout comme un supposé résultat peu encourageant d'un audit de sécurité.
Il est tout à fait concevable d'abandonner un projet open source, pour de nombreuses raisons, mais pas de cette manière et du jour au lendemain. Le site a été supprimé, ainsi que - et surtout - les exécutables des anciennes versions. Et tout cela en invoquant des raisons complètement hors de propos.

On a ici une équipe qui depuis 10ans proposait un logiciel de cryptographie haut de gamme, domaine pour le moins complexe. Un groupe donc sérieux, qui du jour au lendemain supprime son site et ses archives et qui conseille d'utiliser la solution de Microsoft ou d'installer un programme au hasard sur Linux. Nul besoin d'un sens critique aiguisé pour s'apercevoir qu'il y a ici quelque chose de suspect.

[Ngork]

TrueCrypt est un excellent logiciel de cryptage, multi-plateforme et il est utilisé non seulement par des personnes mais aussi par diverses administrations pour sécuriser des informations confidentielles.

Certes, il a subi un audit sérieux, et c'est une bonne chose, mais son code source est publié depuis des années, et les anomalies relevées par l'audit se retrouvent dans quasiment tous les logiciels : des entiers insuffisamment protégés contre un overflow, l'utilisation de fonctions telles que sprintf() à remplacer par snprintf(), des transferts de valeurs entre des variables de types différents ... Non, la seule vulnérabilité un peu sérieuse qui semble avoir été trouvée c'est la relative insuffisance de l'algorithme du chargeur qui pourrait donner la possibilité à une personne qui disposerait pleinement du volume crypté de réaliser une attaque en force brute avec du très gros matériel, du temps et un logiciel bien optimisé !

Les différences entre la version 7.1a et la nouvelle 7.2 se limitent essentiellement à :

1- plusieurs centaines de lignes de code de cryptage supprimées, remplacées dans chaque fonction par un laconique AbortProcess ("INSECURE_APP"¹);

2- l'affichage dans plus d'une trentaine d'emplacement de "INSECURE_APP"¹ ou encore un sympathique "Permanent decryption is available only on Windows. If you cannot use TrueCrypt on Windows, you should mount the volume you need to decrypt and move all data from the mounted volume."² qui invite à faire le ménage !

3- le commentaire // English (U.S.) resources est remplacé par // English (United States) resources

Ma conclusion pour le 1 et le 2, c'est que la version 7.2 est totalement inutile, ne sert qu'à piéger les enthousiastes qui auraient trop vite chargé et installé la 7.2 à la place de la 7.1a, puis à les convaincre que réinstaller Truecrypt 7.1a serait vraiment une très mauvaise idée ...

Ma question pour le 3 : Qui serait incapable de se retenir de corriger dans un commentaire de code le trop familier "U.S." en le remplaçant par un respectueux "United States"³ ?

¹ : "APPLICATION_VULNERABLE"
² : ""Le décryptage définitif n'est disponible que sous Windows. Si vous ne pouvez pas utiliser TrueCrypt sous Windows, vous devez monter le volume que vous avez besoin de décrypter puis enlever toutes les données du volume monté."
³ : "Etats-Unis"

[Lekno]

Certain d'entre vous utilise http://stefanstools.sourceforge.net/CryptSync.html ?

[Simara1170]

C'est vrai que la disparition pure et simple d'un des meilleurs logiciel de cryptage, et à priori à ce jour inviolé par nos amis de la NSA semble un poil suspect (mais c'est un poil de la taille d'un baobab qu'on me murmure à l'oreille)

[goran kajfes]

Microsoft a sorti son portefeuille pour acheter et tuer TrueCrypt avant de brouiller les cartes avec le sigle NSA. C'est pas plu compliqué.

[Michael Guilloux]

TrueCrypt : des audits de sécurité viennent rassurer les utilisateurs du logiciel de chiffrement de disque
Le projet va-t-il redécoller?

« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. » C’est par ces mots que le site officiel de TrueCrypt a annoncé en Mai dernier que l’on ne pouvait plus faire confiance au logiciel de chiffrement qui compte des millions d’utilisateurs.

TrueCrypt est en fait un outil de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.

Le 28 mai 2014, les développeurs du projet ont annoncé la fin du développement sous prétexte de la fin du support de Windows XP par Microsoft ; un argument peu convaincant. Ils deviennent un peu plus convaincants en affirmant que le logiciel a été compromis. Ils proposent donc des solutions alternatives telles que BitLocker de Microsoft ou FileVault pour Mac. Mais contrairement à ces deux autres, TrueCrypt fonctionne sur plusieurs plateformes y compris Mac, Windows et Linux, ce qui lui donne un avantage comparatif.

Ces deux arguments n’arrivent cependant pas à convaincre la communauté informatique, qui d’ailleurs évoque d’autres raisons qui pourraient être plausibles. D’un côté, il est dit que les développeurs anonymes de TrueCrypt auraient été piratés. D’autres encore affirment que les développeurs ont décidé d’abandonner le projet parce qu’il y aurait une faille importante beaucoup trop difficile à corriger. Quelle que soit la raison, ce qui semblait plus évoqué est que la NSA avait demandé aux développeurs d’introduire une porte dérobée dans l’outil. Autrement dit, une fonctionnalité inconnue de l'utilisateur légitime, qui donnerait un accès secret au logiciel. Cela permettrait ainsi à l’agence américaine de violer, incognito, la sécurité des utilisateurs. Les développeurs auraient donc mis fin au projet plutôt que de céder à la demande de la NSA.

Bref, il est ressorti de toutes ces spéculations qu’on ne pouvait plus faire confiance au projet à moins qu’un audit informatique vienne clarifier les choses.

C’est dans ce cadre qu’une mission d’audit - déjà en cours à l'époque - a été accélérée pour s’enquérir de la sécurité de TrueCrypt.

Pour les demandeurs de confidentialité et de sécurité, l’audit sur les fondements cryptographiques de TrueCrypt – actuellement à sa phase 2 – a révélé qu’il n’y avait pas de défauts graves sur l’outil de sorte à pouvoir compromettre la sécurité des utilisateurs. C’est ce qui ressort du rapport d’audit livré par les chercheurs de NCC Security Services, spécialistes en sécurité d’information.

« Le TLDR est que, basé sur cet audit, TrueCrypt se présente comme une pièce de logiciel de crypto relativement bien conçue, » a dit Matt Green, auditeur et professeur spécialisé dans la cryptographie à l'Université Johns Hopkins. « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »

Toutefois, Green poursuit pour dire que cela ne signifie pas que TrueCrypt est parfait. « Les auditeurs ont trouvé quelques pépins et un peu de programmation imprudente - pouvant conduire à quelques problèmes qui pourraient, dans les bonnes circonstances, emmener Truecrypt à fournir moins d'assurance que nous le souhaiterions », a-t-il ajouté.

L'analyse a en fait permis de trouver quatre vulnérabilités dans l’outil de chiffrement. La plus grave, selon les auditeurs, « est une découverte relative à la version Windows du générateur de nombres aléatoires (RNG) de TrueCrypt, qui est responsable de la génération des clés qui chiffrent les volumes TrueCrypt ». Il est probable qu’un bug puisse permettre de prévoir les clés de chiffrement générées par le RNG, ce qui « peut mener au désastre pour la sécurité », a dit Matt Green. L’auditeur précise toutefois que la probabilité que cela se produise reste extrêmement faible en rassurant que - comme les autres défauts qui sont de gravité plus faible - le défaut sera fixé.

Sources: Blog Cryptography Engineering, Open Crypto Audit (pdf)

Et vous ?

Utilisez-vous TrueCrypt ? Qu’en pensez-vous ?

Que sera l’avenir du projet TrueCrypt ?

[Jitou]

Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

http://sourceforge.net/projects/veracrypt

[benjani13]

Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

http://sourceforge.net/projects/veracrypt

Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.

[pcaboche]

Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.

À ce qu'il paraît, il y "aurait" une faille majeure...

... sauf qu'ils ne disent pas laquelle

... et cette histoire de "faille majeure" semble assez suspecte (on soupconne la NSA d'avoir mis le nez là dedans et d'avoir fait pression sur les développeurs, qui ne peuvent rien dire à ce sujet et doivent rester évasifs)

... à la place, ils préconisent d'utiliser des solutions comme... BitLocker ou FileVault (solutions propriétaires implémentés par des sociétés sous juridiction américaine; on ne peut pas regarder le code pour vérifier qu'il n'existe pas de backdoor)

... des audits trouvent bien quelques pistes qui pourraient éventuellement poser problème à terme, mais rien qui ne le rende complètement obsolète pour le moment (à l'inverse d'algos comme MD5)


Donc au final, la question c'est "en qui avoir confiance ? :
- en des solutions open-source comme TruCrypt ou dérivés, qui selon certaines rumeurs auraient des failles critiques (mais on ne nous dit pas lesquelles)
- ou en des logiciels fermés comme BitLocker ?"

[benjani13]

Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.