IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité »,
La fin mystérieuse de la solution de chiffrement

Le , par Hinault Romaric

28PARTAGES

6  0 
Après la faille Heartbleed dans OpenSSL, des informations concernant l’outil de chiffrement open source TrueCrypt viennent à nouveau bouleverser l’écosystème de la sécurité sur internet. Une des pages officielles de l’outil affiche un mystérieux message affirmant que le développement de TrueCrypt a été arrêté et que les utilisateurs doivent cesser d’avoir recours à celui-ci.

« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. Cette page existe seulement pour faciliter la migration des données existantes chiffrées par TrueCrypt. Le développement de TrueCrypt a été abandonné le 5/2014, après que Microsoft ait mis fin au support de Windows XP. », peut-on lire sur la page d’hébergement du projet sur Sourceforge.

Pour rappel, TrueCrypt est un célèbre outil de chiffrement qui existe depuis plus d’une décennie, permettant de sécuriser les données d’un espace de stockage (disque dur par exemple), en chiffrant celui-ci.

Cette brusque annonce autour de laquelle règne un flou total n’a pas manqué de créer une grosse polémique et plusieurs spéculations sur les raisons réelles de cette annonce.

Certains y voient l’œil espion de la NSA. L’agence de sécurité américaine aurait demandé aux développeurs du projet (qui, faut le souligner, sont anonymes) d’introduire une porte dérobée dans celui-ci (Backdoor). Tout comme l’avait fait Lavabit, les développeurs auraient préféré mettre fin au développement du projet, plutôt que de répondre favorablement aux demandes de la NSA. D’ailleurs, certains ont rapidement fait le rapprochement entre « TrueCrypt is not secure as » avec « NSA ».

D’autres voient en cette fin un canular des pirates, qui auraient hacké la plateforme d’hébergement du projet. Un autre scénario évoqué serait la découverte d’une faille importante qui était beaucoup trop complexe à corriger pour les développeurs. Au lieu de divulguer celle-ci publiquement, il aurait décidé de mettre fin au projet. Un conflit entre les développeurs du projet a été également avancé.

Sur la plateforme d’hébergement du projet, la version 7.2 de TrueCrypt est disponible en téléchargement et Brian Krebs, un expert en sécurité écarte le scénario du piratage, car il n’y aurait pas eu des changements récents dans les données d’identification du site et la dernière version de l’outil utilise la même clé de sécurité que la version précédente.

Pour lui, ces deux faits montrent que le message est légitime et que TrueCrypt a officiellement pris sa retraite. La version 7.2 de TrueCrypt ne permet que de déchiffrer les données pour procéder à leur migration. La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.

Un groupe de développeurs (Thomas Bruderer et Joseph Doekbrijder) a déjà pris l’initiative de faire renaitre le projet. Sur le site http://truecrypt.ch/ qui vient d’être lancé par ceux-ci, on peut lire le message « TrueCrypt ne doit pas mourir ». Ceux-ci espèrent être rejoints rapidement par d’autres développeurs pour organiser l’avenir de TrueCrypt.

Pour l’instant, le mystère règne sur la fin de TrueCrypt et chacun y va de son commentaire. Affaire à suivre.

Source : Le site du projet, billet de blog de Brian Krebs

Et vous ?

Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?

Quel scénario de son abandon vous semble le plus probable ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 31/05/2014 à 18:33
Cependant, si la NSA a effectivement les moyens de faire stopper les projets de sécurisation un peu trop efficaces, il faut en prendre conscience et s'y opposer. Il serait utile qu'on ne reste pas dans le flou sur ce qui s'est passé et que les core-contributors du projet s'expriment.
9  0 
Avatar de Plophy
Nouveau membre du Club https://www.developpez.com
Le 05/06/2014 à 14:04
Citation Envoyé par Hinault Romaric Voir le message
Utilisez-vous TrueCrypt ? Que pensez-vous de son abandon ?
À ma connaissance c'était le seul logiciel fiable de cryptage, même le FBI n'avait apparemment pas pu accéder aux données protégées par TrueCrypt. Sa disparition est tout simplement une catastrophe. Beaucoup de personnes dépendent de cette solution, parmi eux des journalistes et membre d'associations et activiste de par le monde. Dans certains cas l'accès à ces données peut directement mettre en danger des vies humaines.

Citation Envoyé par Hinault Romaric Voir le message
Quel scénario de son abandon vous semble le plus probable ?
L'hypothèse que l'on peut lire parfois, selon laquelle les développeurs auraient simplement décidé d'abandonner le projet par manque d'intérêt, de temps, ou pour des raisons d'entente au sein de l'équipe, me semble tout bonnement absurde. Tout comme un supposé résultat peu encourageant d'un audit de sécurité.
Il est tout à fait concevable d'abandonner un projet open source, pour de nombreuses raisons, mais pas de cette manière et du jour au lendemain. Le site a été supprimé, ainsi que - et surtout - les exécutables des anciennes versions. Et tout cela en invoquant des raisons complètement hors de propos.

On a ici une équipe qui depuis 10ans proposait un logiciel de cryptographie haut de gamme, domaine pour le moins complexe. Un groupe donc sérieux, qui du jour au lendemain supprime son site et ses archives et qui conseille d'utiliser la solution de Microsoft ou d'installer un programme au hasard sur Linux. Nul besoin d'un sens critique aiguisé pour s'apercevoir qu'il y a ici quelque chose de suspect.
8  0 
Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 05/04/2015 à 13:53
Citation Envoyé par benjani13 Voir le message
Enfin si TrueCrypt a effectivement une faille majeur, ça ne me rassure pas qu'un autre logiciel se base dessus.
À ce qu'il paraît, il y "aurait" une faille majeure...

... sauf qu'ils ne disent pas laquelle

... et cette histoire de "faille majeure" semble assez suspecte (on soupconne la NSA d'avoir mis le nez là dedans et d'avoir fait pression sur les développeurs, qui ne peuvent rien dire à ce sujet et doivent rester évasifs)

... à la place, ils préconisent d'utiliser des solutions comme... BitLocker ou FileVault (solutions propriétaires implémentés par des sociétés sous juridiction américaine; on ne peut pas regarder le code pour vérifier qu'il n'existe pas de backdoor)

... des audits trouvent bien quelques pistes qui pourraient éventuellement poser problème à terme, mais rien qui ne le rende complètement obsolète pour le moment (à l'inverse d'algos comme MD5)

Donc au final, la question c'est "en qui avoir confiance ? :
- en des solutions open-source comme TruCrypt ou dérivés, qui selon certaines rumeurs auraient des failles critiques (mais on ne nous dit pas lesquelles)
- ou en des logiciels fermés comme BitLocker ?"
5  0 
Avatar de Voyvode
Membre émérite https://www.developpez.com
Le 30/05/2014 à 13:34
Citation Envoyé par Hinault Romaric Voir le message
La page Web du projet conseille d’utiliser les outils de chiffrements natifs des systèmes d’exploitation qui en possèdent ou encore BitLocker de Microsoft, qui n’est pas, cependant, open source.
Les développeurs d’un logiciel de cryptographie open source vieux de dix ans suggèrent de reposer sur une solution propriétaire fermée créée par une boite qui bosse avec la NSA.

Le 1er avril, c’était il y a deux mois.
4  1 
Avatar de Jitou
Membre confirmé https://www.developpez.com
Le 05/04/2015 à 8:07
Depuis l'arrêt du projet il existe pourtant une alternative : VeraCrypt. Ce projet repose sur les sources de TrueCrypt et fonctionne à l'identique.

http://sourceforge.net/projects/veracrypt
3  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 24/11/2015 à 3:39
Citation Envoyé par cuicui78 Voir le message
ce que je voit avec cette histoire c'est que la nsa avait du mal avec truecrypt donc ils ont fait en sorte de montrer que l’outil n'était pas fiable, donc a coup de désinformation.
C'est toujours pareil, quand on peu pas faire taire quelqu'un on fait en sorte de casser ça crédibilité..
Perso je reste sur l'hypothèse du "Not Secure As" de l'ultime version de TrueCrypt. La NSA avait du mal avec TrueCrypt, ils ont alors décidé de mettre un coup de pression auprès des développeurs de TC pour y obtenir leur porte dérobée (comme avec Yahoo!, Google, Microsoft et toutes les grosses autres sociétés de PRISM qui rappelons-le n'ont pas nécessairement toutes souscrit à ce programme de gaieté de coeur), mais les développeurs de TC ont préféré saborder le logiciel plutôt que de le faire vivre avec cette malhonnête backdoor.

Les audits réalisés ne discréditent d'ailleurs pas le logiciel AMHA. TrueCrypt 7.1.a est et restera un très bon logiciel, et comme tout logiciel celui-ci ne sera jamais parfait avec zéro bugs connus ou pas. C'est juste que les médias ne parlent que des quelques bugs que les auditeurs de TC ont réussi à trouver.
2  0 
Avatar de rthomas
Membre du Club https://www.developpez.com
Le 30/05/2014 à 13:47
Truecrypt version Windows n'utilise pas les socket (regardez le code http://truecrypt.ch ou utilisez Dependency Walker)
Donc une faille de sécurité (voler votre mot de passe) n'est possible que quand la partition cryptée est montée.
Quand la partition est montée n'importe quel logiciel peut accéder aux données.
Donc la notion de faille de sécurité n'a pas vraiment de sens.

=> Explication plausible de la fin de Truecrypt

Un bon petit buzz.
1  0 
Avatar de Elepole
Membre éprouvé https://www.developpez.com
Le 01/06/2014 à 6:34
L'une des raison possible de cette fin serait l'absence de développeur compétent dans l’équipe restante. Ça vient d'une source non confirme (donc , a prendre avec des pincettes), et je ne pas confirme de moi même; mais le code du bootloader n’aurait pas eu d’évolution depuis 2005, due au départ du développeur responsable de ce code.
Je ne sais pas a quel point ces affirmation sont vrai (difficile de vérifier, tous les développeurs étant anonyme, et n'ayant pas accès au a un historique des sources), mais force est de constater que sur de nombreux point le logiciel n’évoluait plus (entre autre, le bootloader qui ne supporte pas UEFI ou encore GPT).

Mais pour moi cette explication me parait bancale: en 9 ans il aurait trouver personne capable de faire évoluer ce code ? Et en 9 ans il n’aurait jamais essayer de faire évoluer ce code eux même ? Possible mais étonnant. Tous comme la piste de la NSA, c'est possible, mais tous ce qu'on comme piste c'est une erreur de grammaire ... C'est un peu gros. (DE plus le code source de la version 7.2 ne laisse présager aucune backdoor potentiel, et ne présente aucune différence par rapport a la version 7.1a a part sur l’encryptions)

En gros, on est dans le flou, et a moins de retrouver l'un des auteur on ne saurât pas.
1  0 
Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 05/04/2015 à 14:34
Citation Envoyé par benjani13 Voir le message
Pcaboche > je suis bien d'accord avec ton message, cette histoire est pas clair du tout. Je disais juste qu'en passant à une solution se basant sur Truecrypt on garde la même problématique, contrairement à ce que Jitou avait l'air de dire.
Bon, en même temps, tout ce que je sais en cryptographie, c'est ce que me disent les média, à savoir :

- TruCrypt, c'est pas bien, il faut pas l'utiliser

- BitLocker, c'est mieux.
Mais si vous n'avez rien à cacher, pourquoi encrypter vos fichiers ?

- il y a des méchants virus qui viennent crypter vos fichiers et vous demandent de l'argent. Si vous vous retrouvez avec des fichiers bizarres que vous ne pouvez pas ouvrir, c'est un virus.

Et je les crois. Comme disait feue ma grand-mère, "si ça passe à la télé, c'est que ça doit être vrai...".
1  0 
Avatar de ouiouioui
Membre expérimenté https://www.developpez.com
Le 09/04/2015 à 10:44
BitLocker même la police Française à les moyens d'y décrypter ...
1  0