« Avertissement : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des failles de sécurité non fixées. » C’est par ces mots que le site officiel de TrueCrypt a annoncé en Mai dernier que l’on ne pouvait plus faire confiance au logiciel de chiffrement qui compte des millions d’utilisateurs.TrueCrypt est en fait un outil de chiffrement de disque. Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt permet également de chiffrer une partition entière ou un périphérique, comme une disquette ou une clé USB. Le chiffrement est automatique et se fait en temps réel.
Le 28 mai 2014, les développeurs du projet ont annoncé la fin du développement sous prétexte de la fin du support de Windows XP par Microsoft ; un argument peu convaincant. Ils deviennent un peu plus convaincants en affirmant que le logiciel a été compromis. Ils proposent donc des solutions alternatives telles que BitLocker de Microsoft ou FileVault pour Mac. Mais contrairement à ces deux autres, TrueCrypt fonctionne sur plusieurs plateformes y compris Mac, Windows et Linux, ce qui lui donne un avantage comparatif.
Ces deux arguments n’arrivent cependant pas à convaincre la communauté informatique, qui d’ailleurs évoque d’autres raisons qui pourraient être plausibles. D’un côté, il est dit que les développeurs anonymes de TrueCrypt auraient été piratés. D’autres encore affirment que les développeurs ont décidé d’abandonner le projet parce qu’il y aurait une faille importante beaucoup trop difficile à corriger. Quelle que soit la raison, ce qui semblait plus évoqué est que la NSA avait demandé aux développeurs d’introduire une porte dérobée dans l’outil. Autrement dit, une fonctionnalité inconnue de l'utilisateur légitime, qui donnerait un accès secret au logiciel. Cela permettrait ainsi à l’agence américaine de violer, incognito, la sécurité des utilisateurs. Les développeurs auraient donc mis fin au projet plutôt que de céder à la demande de la NSA.
Bref, il est ressorti de toutes ces spéculations qu’on ne pouvait plus faire confiance au projet à moins qu’un audit informatique vienne clarifier les choses.
C’est dans ce cadre qu’une mission d’audit - déjà en cours à l'époque - a été accélérée pour s’enquérir de la sécurité de TrueCrypt.
Pour les demandeurs de confidentialité et de sécurité, l’audit sur les fondements cryptographiques de TrueCrypt – actuellement à sa phase 2 – a révélé qu’il n’y avait pas de défauts graves sur l’outil de sorte à pouvoir compromettre la sécurité des utilisateurs. C’est ce qui ressort du rapport d’audit livré par les chercheurs de NCC Security Services, spécialistes en sécurité d’information.
« Le TLDR est que, basé sur cet audit, TrueCrypt se présente comme une pièce de logiciel de crypto relativement bien conçue, » a dit Matt Green, auditeur et professeur spécialisé dans la cryptographie à l'Université Johns Hopkins. « L'audit du CCN n'a trouvé aucune preuve de portes dérobées délibérées ou des défauts de conception graves qui rendront le logiciel insécurisé dans la plupart des cas. »
Toutefois, Green poursuit pour dire que cela ne signifie pas que TrueCrypt est parfait. « Les auditeurs ont trouvé quelques pépins et un peu de programmation imprudente - pouvant conduire à quelques problèmes qui pourraient, dans les bonnes circonstances, emmener Truecrypt à fournir moins d'assurance que nous le souhaiterions », a-t-il ajouté.
L'analyse a en fait permis de trouver quatre vulnérabilités dans l’outil de chiffrement. La plus grave, selon les auditeurs, « est une découverte relative à la version Windows du générateur de nombres aléatoires (RNG) de TrueCrypt, qui est responsable de la génération des clés qui chiffrent les volumes TrueCrypt ». Il est probable qu’un bug puisse permettre de prévoir les clés de chiffrement générées par le RNG, ce qui « peut mener au désastre pour la sécurité », a dit Matt Green. L’auditeur précise toutefois que la probabilité que cela se produise reste extrêmement faible en rassurant que - comme les autres défauts qui sont de gravité plus faible - le défaut sera fixé.
Sources: Blog Cryptography Engineering, Open Crypto Audit (pdf)
Et vous ?
Utilisez-vous TrueCrypt ? Qu’en pensez-vous ? Que sera l’avenir du projet TrueCrypt ? 
Envoyé par benjani13
