TrueCrypt : la fin mystérieuse de la solution de chiffrement
« Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité »
la fin mystérieuse de la solution de chiffrement
Après la faille Heartbleed dans OpenSSL, des informations concernant l’outil de chiffrement open source TrueCrypt viennent à nouveau bouleverser l’écosystème de la sécurité sur internet. Une des pages officielles de l’outil affiche un mystérieux message affirmant que le développement de TrueCrypt a été arrêté et que les utilisateurs doivent cesser d’avoir recours à celui-ci.
« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. Cette page existe seulement pour faciliter la migration des données existantes chiffrées par TrueCrypt. Le développement de TrueCrypt a été abandonné le 5/2014, après que Microsoft ait mis fin au support de Windows XP. », peut-on lire sur la page d’hébergement du projet sur Sourceforge.
Pour rappel, TrueCrypt est un célèbre outil de chiffrement qui existe depuis plus d’une décennie, permettant de sécuriser les données d’un espace de stockage (disque dur par exemple), en chiffrant celui-ci.
Cette brusque annonce autour de laquelle règne un flou total n’a pas manqué de créer une grosse polémique et plusieurs spéculations sur les raisons réelles de cette annonce.
Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».
D’autres voient en cette fin un canular des pirates, qui auraient hacké la plateforme d’hébergement du projet. Un autre scénario évoqué serait la découverte d’une faille importante qui était beaucoup trop complexe à corriger pour les développeurs. Au lieu de divulguer celle-ci publiquement, il aurait décidé de mettre fin au projet. Un conflit entre les développeurs du projet a été également avancé.
Sur la plateforme d’hébergement du projet, la version 7.2 de TrueCrypt est disponible en téléchargement et Brian Krebs, un expert en sécurité écarte le scénario du piratage, car il n’y aurait pas eu des changements récents dans les données d’identification du site et la dernière version de l’outil utilise la même clé de sécurité que la version précédente.
Pour lui, ces deux faits montrent que le message est légitime et que TrueCrypt a officiellement pris sa retraite. La version 7.2 de TrueCrypt ne permet que de déchiffrer les données pour procéder à leur migration. La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.
Un groupe de développeurs (Thomas Bruderer et Joseph Doekbrijder) a déjà pris l’initiative de faire renaitre le projet. Sur le site http://truecrypt.ch/ qui vient d’être lancé par ceux-ci, on peut lire le message « TrueCrypt ne doit pas mourir ». Ceux-ci espèrent être rejoints rapidement par d’autres développeurs pour organiser l’avenir de TrueCrypt.
Pour l’instant, le mystère règne sur la fin de TrueCrypt et chacun y va de son commentaire. Affaire à suivre.
Source : Le site du projet, billet de blog de Brian Krebs
Et vous ?
:fleche: Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?
:fleche: Quel scénario de son abandon vous semble le plus probable ?
TrueCrypt : des audits de sécurité viennent rassurer les utilisateurs du logiciel de chiffrement de disque
TrueCrypt : des audits de sécurité viennent rassurer les utilisateurs du logiciel de chiffrement de disque
Le projet va-t-il redécoller?
« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. » C’est par ces mots que le site officiel de TrueCrypt a annoncé en Mai dernier que l’on ne pouvait plus faire confiance au logiciel de chiffrement qui compte des millions d’utilisateurs.
TrueCrypt est en fait un outil de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.
Le 28 mai 2014, les développeurs du projet ont annoncé la fin du développement sous prétexte de la fin du support de Windows XP par Microsoft ; un argument peu convaincant. Ils deviennent un peu plus convaincants en affirmant que le logiciel a été compromis. Ils proposent donc des solutions alternatives telles que BitLocker de Microsoft ou FileVault pour Mac. Mais contrairement à ces deux autres, TrueCrypt fonctionne sur plusieurs plateformes y compris Mac, Windows et Linux, ce qui lui donne un avantage comparatif.
Ces deux arguments n’arrivent cependant pas à convaincre la communauté informatique, qui d’ailleurs évoque d’autres raisons qui pourraient être plausibles. D’un côté, il est dit que les développeurs anonymes de TrueCrypt auraient été piratés. D’autres encore affirment que les développeurs ont décidé d’abandonner le projet parce qu’il y aurait une faille importante beaucoup trop difficile à corriger. Quelle que soit la raison, ce qui semblait plus évoqué est que la NSA avait demandé aux développeurs d’introduire une porte dérobée dans l’outil. Autrement dit, une fonctionnalité inconnue de l'utilisateur légitime, qui donnerait un accès secret au logiciel. Cela permettrait ainsi à l’agence américaine de violer, incognito, la sécurité des utilisateurs. Les développeurs auraient donc mis fin au projet plutôt que de céder à la demande de la NSA.
Bref, il est ressorti de toutes ces spéculations qu’on ne pouvait plus faire confiance au projet à moins qu’un audit informatique vienne clarifier les choses.
C’est dans ce cadre qu’une mission d’audit - déjà en cours à l'époque - a été accélérée pour s’enquérir de la sécurité de TrueCrypt.
Pour les demandeurs de confidentialité et de sécurité, l’audit sur les fondements cryptographiques de TrueCrypt – actuellement à sa phase 2 – a révélé qu’il n’y avait pas de défauts graves sur l’outil de sorte à pouvoir compromettre la sécurité des utilisateurs. C’est ce qui ressort du rapport d’audit livré par les chercheurs de NCC Security Services, spécialistes en sécurité d’information.
« Le TLDR est que, basé sur cet audit, TrueCrypt se présente comme une pièce de logiciel de crypto relativement bien conçue, » a dit Matt Green, auditeur et professeur spécialisé dans la cryptographie à l'Université Johns Hopkins. « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »
Toutefois, Green poursuit pour dire que cela ne signifie pas que TrueCrypt est parfait. « Les auditeurs ont trouvé quelques pépins et un peu de programmation imprudente - pouvant conduire à quelques problèmes qui pourraient, dans les bonnes circonstances, emmener Truecrypt à fournir moins d'assurance que nous le souhaiterions », a-t-il ajouté.
L'analyse a en fait permis de trouver quatre vulnérabilités dans l’outil de chiffrement. La plus grave, selon les auditeurs, « est une découverte relative à la version Windows du générateur de nombres aléatoires (RNG) de TrueCrypt, qui est responsable de la génération des clés qui chiffrent les volumes TrueCrypt ». Il est probable qu’un bug puisse permettre de prévoir les clés de chiffrement générées par le RNG, ce qui « peut mener au désastre pour la sécurité », a dit Matt Green. L’auditeur précise toutefois que la probabilité que cela se produise reste extrêmement faible en rassurant que - comme les autres défauts qui sont de gravité plus faible - le défaut sera fixé.
Sources: Blog Cryptography Engineering, Open Crypto Audit (pdf)
Et vous ?
:fleche: Utilisez-vous TrueCrypt ? Qu’en pensez-vous ?
:fleche: Que sera l’avenir du projet TrueCrypt ?
Il existe une alternative VeraCrypt !
Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.
http://sourceforge.net/projects/veracrypt