IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 569
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 569
    Points : 252 310
    Points
    252 310
    Billets dans le blog
    117
    Par défaut TrueCrypt : la fin mystérieuse de la solution de chiffrement
    « Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité »
    la fin mystérieuse de la solution de chiffrement

    Après la faille Heartbleed dans OpenSSL, des informations concernant l’outil de chiffrement open source TrueCrypt viennent à nouveau bouleverser l’écosystème de la sécurité sur internet. Une des pages officielles de l’outil affiche un mystérieux message affirmant que le développement de TrueCrypt a été arrêté et que les utilisateurs doivent cesser d’avoir recours à celui-ci.

    « Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. Cette page existe seulement pour faciliter la migration des données existantes chiffrées par TrueCrypt. Le développement de TrueCrypt a été abandonné le 5/2014, après que Microsoft ait mis fin au support de Windows XP. », peut-on lire sur la page d’hébergement du projet sur Sourceforge.

    Pour rappel, TrueCrypt est un célèbre outil de chiffrement qui existe depuis plus d’une décennie, permettant de sécuriser les données d’un espace de stockage (disque dur par exemple), en chiffrant celui-ci.

    Cette brusque annonce autour de laquelle règne un flou total n’a pas manqué de créer une grosse polémique et plusieurs spéculations sur les raisons réelles de cette annonce.

    Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

    D’autres voient en cette fin un canular des pirates, qui auraient hacké la plateforme d’hébergement du projet. Un autre scénario évoqué serait la découverte d’une faille importante qui était beaucoup trop complexe à corriger pour les développeurs. Au lieu de divulguer celle-ci publiquement, il aurait décidé de mettre fin au projet. Un conflit entre les développeurs du projet a été également avancé.

    Sur la plateforme d’hébergement du projet, la version 7.2 de TrueCrypt est disponible en téléchargement et Brian Krebs, un expert en sécurité écarte le scénario du piratage, car il n’y aurait pas eu des changements récents dans les données d’identification du site et la dernière version de l’outil utilise la même clé de sécurité que la version précédente.

    Pour lui, ces deux faits montrent que le message est légitime et que TrueCrypt a officiellement pris sa retraite. La version 7.2 de TrueCrypt ne permet que de déchiffrer les données pour procéder à leur migration. La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

    Un groupe de développeurs (Thomas Bruderer et Joseph Doekbrijder) a déjà pris l’initiative de faire renaitre le projet. Sur le site http://truecrypt.ch/ qui vient d’être lancé par ceux-ci, on peut lire le message « TrueCrypt ne doit pas mourir ». Ceux-ci espèrent être rejoints rapidement par d’autres développeurs pour organiser l’avenir de TrueCrypt.

    Pour l’instant, le mystère règne sur la fin de TrueCrypt et chacun y va de son commentaire. Affaire à suivre.


    Source : Le site du projet, billet de blog de Brian Krebs


    Et vous ?

    Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

    Quel scénario de son abandon vous semble le plus probable ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre émérite
    Avatar de Voyvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    474
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 474
    Points : 2 585
    Points
    2 585
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.
    Les développeurs d’un logiciel de cryptographie open source vieux de dix ans suggèrent de reposer sur une solution propriétaire fermée créée par une boite qui bosse avec la NSA.

    Le 1er avril, c’était il y a deux mois.

  3. #3
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 584
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 584
    Points : 3 526
    Points
    3 526
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Que pensez-vous de son abandon ?
    Quel abandon ? Je n'imagine pas TrueCrypt ne pas se faire forker. Rendez-vous donc dans quelque temps pour connaître le nom du fork qui prendra (officiellement) sa suite.

    Citation Envoyé par Hinault Romaric Voir le message
    Quel scénario de son abandon vous semble le plus probable ?
    J'opterais pour celui de la NSA. J'avais lu il y a quelques temps que le FBI ne savait pas cracker les conteneurs TrueCrypt afin d'y découvrir les preuves qu'ils peuvent contenir. Du coup il n'est pas impossible que la NSA ait fait pression sur les développeurs de TrueCrypt afin d'affaiblir le logiciel pour eux et qu'en réaction les devs de TrueCrypt aient fait comme Lavabit.

    Après il faut aussi avouer que ce paragraphe là est fait par et pour les conspirationnistes (et qu'on n'a pas fini d'en entendre parler si c'est vrai) :

    Citation Envoyé par Hinault Romaric Voir le message
    Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  4. #4
    Membre du Club
    Profil pro
    Inscrit en
    août 2007
    Messages
    45
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 45
    Points : 63
    Points
    63
    Par défaut
    Truecrypt version Windows n'utilise pas les socket (regardez le code http://truecrypt.ch ou utilisez Dependency Walker)
    Donc une faille de sécurité (voler votre mot de passe) n'est possible que quand la partition cryptée est montée.
    Quand la partition est montée n'importe quel logiciel peut accéder aux données.
    Donc la notion de faille de sécurité n'a pas vraiment de sens.

    => Explication plausible de la fin de Truecrypt

    Un bon petit buzz.

  5. #5
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2009
    Messages
    1 038
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 1 038
    Points : 2 181
    Points
    2 181
    Par défaut
    Le fait que les développeurs de TrueCrypt soient toujours rester anonyme est aussi un problème au niveau de la sécurité. Il est difficile de considérer un anonyme comme un tiers de confiance...

  6. #6
    Membre expérimenté
    Homme Profil pro
    Ingénieur en génie logiciel
    Inscrit en
    juin 2012
    Messages
    563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Ingénieur en génie logiciel
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2012
    Messages : 563
    Points : 1 373
    Points
    1 373
    Par défaut
    a-t'on une idée de la robustesse des solutions de cryptage de partition opensource sous Linux?

  7. #7
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 214
    Points
    2 214
    Par défaut
    Cependant, si la NSA a effectivement les moyens de faire stopper les projets de sécurisation un peu trop efficaces, il faut en prendre conscience et s'y opposer. Il serait utile qu'on ne reste pas dans le flou sur ce qui s'est passé et que les core-contributors du projet s'expriment.

  8. #8
    Membre éprouvé Avatar de Elepole
    Profil pro
    Développeur informatique
    Inscrit en
    avril 2010
    Messages
    504
    Détails du profil
    Informations personnelles :
    Âge : 31
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : avril 2010
    Messages : 504
    Points : 1 130
    Points
    1 130
    Par défaut
    L'une des raison possible de cette fin serait l'absence de développeur compétent dans l’équipe restante. Ça vient d'une source non confirme (donc , a prendre avec des pincettes), et je ne pas confirme de moi même; mais le code du bootloader n’aurait pas eu d’évolution depuis 2005, due au départ du développeur responsable de ce code.
    Je ne sais pas a quel point ces affirmation sont vrai (difficile de vérifier, tous les développeurs étant anonyme, et n'ayant pas accès au a un historique des sources), mais force est de constater que sur de nombreux point le logiciel n’évoluait plus (entre autre, le bootloader qui ne supporte pas UEFI ou encore GPT).

    Mais pour moi cette explication me parait bancale: en 9 ans il aurait trouver personne capable de faire évoluer ce code ? Et en 9 ans il n’aurait jamais essayer de faire évoluer ce code eux même ? Possible mais étonnant. Tous comme la piste de la NSA, c'est possible, mais tous ce qu'on comme piste c'est une erreur de grammaire ... C'est un peu gros. (DE plus le code source de la version 7.2 ne laisse présager aucune backdoor potentiel, et ne présente aucune différence par rapport a la version 7.1a a part sur l’encryptions)

    En gros, on est dans le flou, et a moins de retrouver l'un des auteur on ne saurât pas.
    Citation Envoyé par Killing Joke Voir le message
    1984 : Big Brother is watching you.
    2011 : Big Brother is hosting you.

  9. #9
    Inactif  
    Profil pro
    Inscrit en
    février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité
    Utiliser Internet n'est pas sûr, il peut contenir des failles de sécurité. CHAQUE programme ou technologie peu contenir des failles de sécurité. C'est pas nouveau, il faut s'en rappeler c'est tous. Les précaution sont a prendre autre part c'est tous.

  10. #10
    Membre averti
    Avatar de Cyrilange
    Profil pro
    Inscrit en
    février 2004
    Messages
    268
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2004
    Messages : 268
    Points : 351
    Points
    351
    Par défaut
    J'ai une entière confiance en la version 7.1a de Truecrypt et j'attend les conclusions de la phase 2 de l'audit de sécurité qui commencera en juin et se terminera vers septembre. Je n'ai aucune intention d'arrêter de l'utiliser d'autant plus que la relève est en marche : http://www.truecrypt.ch/

  11. #11
    Nouveau membre du Club
    Inscrit en
    janvier 2010
    Messages
    14
    Détails du profil
    Informations forums :
    Inscription : janvier 2010
    Messages : 14
    Points : 27
    Points
    27
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?
    À ma connaissance c'était le seul logiciel fiable de cryptage, même le FBI n'avait apparemment pas pu accéder aux données protégées par TrueCrypt. Sa disparition est tout simplement une catastrophe. Beaucoup de personnes dépendent de cette solution, parmi eux des journalistes et membre d'associations et activiste de par le monde. Dans certains cas l'accès à ces données peut directement mettre en danger des vies humaines.

    Citation Envoyé par Hinault Romaric Voir le message
    Quel scénario de son abandon vous semble le plus probable ?
    L'hypothèse que l'on peut lire parfois, selon laquelle les développeurs auraient simplement décidé d'abandonner le projet par manque d'intérêt, de temps, ou pour des raisons d'entente au sein de l'équipe, me semble tout bonnement absurde. Tout comme un supposé résultat peu encourageant d'un audit de sécurité.
    Il est tout à fait concevable d'abandonner un projet open source, pour de nombreuses raisons, mais pas de cette manière et du jour au lendemain. Le site a été supprimé, ainsi que - et surtout - les exécutables des anciennes versions. Et tout cela en invoquant des raisons complètement hors de propos.

    On a ici une équipe qui depuis 10ans proposait un logiciel de cryptographie haut de gamme, domaine pour le moins complexe. Un groupe donc sérieux, qui du jour au lendemain supprime son site et ses archives et qui conseille d'utiliser la solution de Microsoft ou d'installer un programme au hasard sur Linux. Nul besoin d'un sens critique aiguisé pour s'apercevoir qu'il y a ici quelque chose de suspect.

  12. #12
    Membre expérimenté Avatar de Ngork
    Homme Profil pro
    Barbare IT
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Barbare IT
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 1 301
    Points
    1 301
    Par défaut
    TrueCrypt est un excellent logiciel de cryptage, multi-plateforme et il est utilisé non seulement par des personnes mais aussi par diverses administrations pour sécuriser des informations confidentielles.

    Certes, il a subi un audit sérieux, et c'est une bonne chose, mais son code source est publié depuis des années, et les anomalies relevées par l'audit se retrouvent dans quasiment tous les logiciels : des entiers insuffisamment protégés contre un overflow, l'utilisation de fonctions telles que sprintf() à remplacer par snprintf(), des transferts de valeurs entre des variables de types différents ... Non, la seule vulnérabilité un peu sérieuse qui semble avoir été trouvée c'est la relative insuffisance de l'algorithme du chargeur qui pourrait donner la possibilité à une personne qui disposerait pleinement du volume crypté de réaliser une attaque en force brute avec du très gros matériel, du temps et un logiciel bien optimisé !

    Les différences entre la version 7.1a et la nouvelle 7.2 se limitent essentiellement à :

    1- plusieurs centaines de lignes de code de cryptage supprimées, remplacées dans chaque fonction par un laconique AbortProcess ("INSECURE_APP"1);

    2- l'affichage dans plus d'une trentaine d'emplacement de "INSECURE_APP"1 ou encore un sympathique "Permanent decryption is available only on Windows. If you cannot use TrueCrypt on Windows, you should mount the volume you need to decrypt and move all data from the mounted volume."2 qui invite à faire le ménage !

    3- le commentaire // English (U.S.) resources est remplacé par // English (United States) resources

    Ma conclusion pour le 1 et le 2, c'est que la version 7.2 est totalement inutile, ne sert qu'à piéger les enthousiastes qui auraient trop vite chargé et installé la 7.2 à la place de la 7.1a, puis à les convaincre que réinstaller Truecrypt 7.1a serait vraiment une très mauvaise idée ...

    Ma question pour le 3 : Qui serait incapable de se retenir de corriger dans un commentaire de code le trop familier "U.S." en le remplaçant par un respectueux "United States"3 ?

    1
    : "APPLICATION_VULNERABLE"
    2 : ""Le décryptage définitif n'est disponible que sous Windows. Si vous ne pouvez pas utiliser TrueCrypt sous Windows, vous devez monter le volume que vous avez besoin de décrypter puis enlever toutes les données du volume monté."
    3 : "Etats-Unis"

  13. #13
    Membre éclairé Avatar de Lekno
    Femme Profil pro
    Étudiant
    Inscrit en
    septembre 2010
    Messages
    856
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 856
    Points : 720
    Points
    720

  14. #14
    Membre éprouvé Avatar de Simara1170
    Homme Profil pro
    Développeur Delphi
    Inscrit en
    avril 2014
    Messages
    423
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Delphi
    Secteur : Enseignement

    Informations forums :
    Inscription : avril 2014
    Messages : 423
    Points : 1 152
    Points
    1 152
    Par défaut
    C'est vrai que la disparition pure et simple d'un des meilleurs logiciel de cryptage, et à priori à ce jour inviolé par nos amis de la NSA semble un poil suspect (mais c'est un poil de la taille d'un baobab qu'on me murmure à l'oreille)
    Citation Envoyé par deuche
    Il y a encore à peine 150 ans, nous vivions encore comme il y a environ 2000 ans.

  15. #15
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2005
    Messages
    128
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2005
    Messages : 128
    Points : 100
    Points
    100
    Par défaut
    Microsoft a sorti son portefeuille pour acheter et tuer TrueCrypt avant de brouiller les cartes avec le sigle NSA. C'est pas plu compliqué.

  16. #16
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Analyste
    Inscrit en
    juillet 2013
    Messages
    2 372
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Analyste
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 372
    Points : 76 269
    Points
    76 269
    Billets dans le blog
    2
    Par défaut TrueCrypt : des audits de sécurité viennent rassurer les utilisateurs du logiciel de chiffrement de disque
    TrueCrypt : des audits de sécurité viennent rassurer les utilisateurs du logiciel de chiffrement de disque
    Le projet va-t-il redécoller?

    « Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. » C’est par ces mots que le site officiel de TrueCrypt a annoncé en Mai dernier que l’on ne pouvait plus faire confiance au logiciel de chiffrement qui compte des millions d’utilisateurs.

    TrueCrypt est en fait un outil de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.

    Le 28 mai 2014, les développeurs du projet ont annoncé la fin du développement sous prétexte de la fin du support de Windows XP par Microsoft ; un argument peu convaincant. Ils deviennent un peu plus convaincants en affirmant que le logiciel a été compromis. Ils proposent donc des solutions alternatives telles que BitLocker de Microsoft ou FileVault pour Mac. Mais contrairement à ces deux autres, TrueCrypt fonctionne sur plusieurs plateformes y compris Mac, Windows et Linux, ce qui lui donne un avantage comparatif.

    Ces deux arguments n’arrivent cependant pas à convaincre la communauté informatique, qui d’ailleurs évoque d’autres raisons qui pourraient être plausibles. D’un côté, il est dit que les développeurs anonymes de TrueCrypt auraient été piratés. D’autres encore affirment que les développeurs ont décidé d’abandonner le projet parce qu’il y aurait une faille importante beaucoup trop difficile à corriger. Quelle que soit la raison, ce qui semblait plus évoqué est que la NSA avait demandé aux développeurs d’introduire une porte dérobée dans l’outil. Autrement dit, une fonctionnalité inconnue de l'utilisateur légitime, qui donnerait un accès secret au logiciel. Cela permettrait ainsi à l’agence américaine de violer, incognito, la sécurité des utilisateurs. Les développeurs auraient donc mis fin au projet plutôt que de céder à la demande de la NSA.

    Bref, il est ressorti de toutes ces spéculations qu’on ne pouvait plus faire confiance au projet à moins qu’un audit informatique vienne clarifier les choses.

    C’est dans ce cadre qu’une mission d’audit - déjà en cours à l'époque - a été accélérée pour s’enquérir de la sécurité de TrueCrypt.

    Pour les demandeurs de confidentialité et de sécurité, l’audit sur les fondements cryptographiques de TrueCrypt – actuellement à sa phase 2 – a révélé qu’il n’y avait pas de défauts graves sur l’outil de sorte à pouvoir compromettre la sécurité des utilisateurs. C’est ce qui ressort du rapport d’audit livré par les chercheurs de NCC Security Services, spécialistes en sécurité d’information.

    « Le TLDR est que, basé sur cet audit, TrueCrypt se présente comme une pièce de logiciel de crypto relativement bien conçue, » a dit Matt Green, auditeur et professeur spécialisé dans la cryptographie à l'Université Johns Hopkins. « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »

    Toutefois, Green poursuit pour dire que cela ne signifie pas que TrueCrypt est parfait. « Les auditeurs ont trouvé quelques pépins et un peu de programmation imprudente - pouvant conduire à quelques problèmes qui pourraient, dans les bonnes circonstances, emmener Truecrypt à fournir moins d'assurance que nous le souhaiterions », a-t-il ajouté.

    L'analyse a en fait permis de trouver quatre vulnérabilités dans l’outil de chiffrement. La plus grave, selon les auditeurs, « est une découverte relative à la version Windows du générateur de nombres aléatoires (RNG) de TrueCrypt, qui est responsable de la génération des clés qui chiffrent les volumes TrueCrypt ». Il est probable qu’un bug puisse permettre de prévoir les clés de chiffrement générées par le RNG, ce qui « peut mener au désastre pour la sécurité », a dit Matt Green. L’auditeur précise toutefois que la probabilité que cela se produise reste extrêmement faible en rassurant que - comme les autres défauts qui sont de gravité plus faible - le défaut sera fixé.

    Sources: Blog Cryptography Engineering, Open Crypto Audit (pdf)

    Et vous ?

    Utilisez-vous TrueCrypt ? Qu’en pensez-vous ?

    Que sera l’avenir du projet TrueCrypt ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  17. #17
    Membre confirmé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2007
    Messages
    181
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 181
    Points : 450
    Points
    450
    Par défaut Il existe une alternative VeraCrypt !
    Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

    http://sourceforge.net/projects/veracrypt

  18. #18
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 615
    Points : 2 814
    Points
    2 814
    Par défaut
    Citation Envoyé par Jitou Voir le message
    Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

    http://sourceforge.net/projects/veracrypt
    Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.

  19. #19
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Singapour

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 785
    Points : 9 647
    Points
    9 647
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
    À ce qu'il paraît, il y "aurait" une faille majeure...

    ... sauf qu'ils ne disent pas laquelle

    ... et cette histoire de "faille majeure" semble assez suspecte (on soupconne la NSA d'avoir mis le nez là dedans et d'avoir fait pression sur les développeurs, qui ne peuvent rien dire à ce sujet et doivent rester évasifs)

    ... à la place, ils préconisent d'utiliser des solutions comme... BitLocker ou FileVault (solutions propriétaires implémentés par des sociétés sous juridiction américaine; on ne peut pas regarder le code pour vérifier qu'il n'existe pas de backdoor)

    ... des audits trouvent bien quelques pistes qui pourraient éventuellement poser problème à terme, mais rien qui ne le rende complètement obsolète pour le moment (à l'inverse d'algos comme MD5)


    Donc au final, la question c'est "en qui avoir confiance ? :
    - en des solutions open-source comme TruCrypt ou dérivés, qui selon certaines rumeurs auraient des failles critiques (mais on ne nous dit pas lesquelles)
    - ou en des logiciels fermés comme BitLocker ?"
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  20. #20
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 615
    Points : 2 814
    Points
    2 814
    Par défaut
    Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.

Discussions similaires

  1. Est ce que la fin du C est proche ou pas ?
    Par Nasky dans le forum C
    Réponses: 116
    Dernier message: 13/12/2016, 16h23
  2. [XSLT][JSP] solution technique pour cas typique
    Par Alix_10 dans le forum XSL/XSLT/XPATH
    Réponses: 3
    Dernier message: 04/09/2006, 14h09
  3. Les Cookies 4° ! : LA SOLUTION
    Par Ph. B. dans le forum XMLRAD
    Réponses: 2
    Dernier message: 31/01/2003, 17h46
  4. Fin de programme dans une procédure
    Par Sinclair dans le forum Langage
    Réponses: 13
    Dernier message: 29/11/2002, 23h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo