TrueCrypt passe l’audit

Le programme de cryptage de disque complet gratuit et open source TrueCrypt était le chouchou du monde de la sécurité (recommandé par Edward Snowden et Amazon), malgré le fait que ses développeurs sont restés anonymes et que le code n'avait pas été audité de manière indépendante.


Juste au moment où ce deuxième problème était résolu par un audit en cours à la suite d'un projet financé par crowdfunding de l'Electronic Frontier Foundation (EFF), les développeurs de TrueCrypt ont soudainement débranché leur logiciel dans des circonstances extrêmement douteuses, recommandant aux utilisateurs de passer à une situation extrêmement précaire et confirmée depuis. par les documents de Snowden comme ayant été compromis par la NSA, BitLocker - un mouvement si bizarre que beaucoup le considèrent comme un mandataire clair en quelque sorte.

Les théories du complot au sein d'une communauté de sécurité de plus en plus paranoïaque ont prospéré malgré le projet d'audit Open Crypto annonçant qu'à la suite de la phase I de son audit, aucune vulnérabilité majeure n'a été trouvée. Avec une confiance en TrueCrypt à son plus bas niveau, mais avec une demande pour les fonctionnalités qu'il promettait encore élevée (aucun autre programme n'offrait tous les avantages de TrueCrypts à l'exception des fourches, qui étaient elles-mêmes suspectes), les chercheurs ont décidé de poursuivre l'audit.

La semaine dernière, les résultats de la phase II de l'audit ont été publiés et donnent globalement à TrueCrypt un bilan de santé irréprochable. Pour autant que l'équipe d'audit puisse déterminer (il n'y a aucun moyen d'être sûr à 100%), le crypto-logiciel ne contient aucune porte dérobée ni vulnérabilité exploitable par la NSA. En tant que chercheur en chef du rapport, Matthew Green a résumé dans un article de blog,

«Le TL; DR est que, sur la base de cet audit, Truecrypt semble être un logiciel de cryptographie relativement bien conçu. L'audit de la CCN n'a trouvé aucune preuve de portes dérobées délibérées ou de défauts de conception graves qui rendraient le logiciel peu sûr dans la plupart des cas. »

L'équipe a trouvé un certain nombre de problèmes qu'elle recommande de corriger, mais ceux-ci peuvent être résolus et ne présentent de toute façon pas une menace majeure pour les utilisateurs, sauf dans les circonstances les plus improbables.,

«Cela ne signifie pas que Truecrypt est parfait. Les auditeurs ont trouvé quelques problèmes et une programmation imprudente - conduisant à quelques problèmes qui pourraient, dans les bonnes circonstances, faire en sorte que Truecrypt donne moins d'assurance que nous ne le souhaiterions..

«Par exemple: le problème le plus important dans le rapport Truecrypt est une constatation liée à la version Windows du générateur de nombres aléatoires (RNG) de Truecrypt, qui est responsable de la génération des clés qui chiffrent les volumes Truecrypt. Il s'agit d'un morceau de code important, car un RNG prévisible peut être catastrophique pour la sécurité de tout le reste du système…

Ce n'est pas la fin du monde, car la probabilité d'un tel échec est extrêmement faible. De plus, même si l'API Windows Crypto échoue sur votre système, Truecrypt collecte toujours l'entropie à partir de sources telles que les pointeurs système et les mouvements de souris. Ces alternatives sont probablement assez bonnes pour vous protéger. Mais c'est une mauvaise conception et devrait certainement être corrigé dans toutes les fourches Truecrypt. »

La communauté de la sécurité souffle probablement maintenant un grand soupir de soulagement, et ces résultats sont susceptibles d'améliorer la confiance dans les fourches qui ont été développées depuis la fin théorique de TrueCrypt. Le gros problème avec de telles fourches est que le code TrueCrypt, bien que la source soit disponible pour l'audit, n'est pas vraiment open source, et donc un tel fork est développé en violation du droit d'auteur. Cependant, pour que cela soit un problème, les développeurs originaux devraient se anonymiser et appuyer la revendication, ce qui, compte tenu des efforts qu'ils ont déployés pour protéger leur identité, la plupart des observateurs considèrent peu probable. C'est néanmoins un pari pour les futurs développeurs de perdre potentiellement beaucoup de temps et d'efforts à développer des logiciels qui pourraient éventuellement être arrêtés..

VeraCrypt et CypherShed sont les deux principales fourchettes de TrueCrypt actuellement en développement, dont VeraCrypt est généralement considéré comme le meilleur (et qui prétend avoir résolu certains des problèmes avec TrueCrypt). Regardez cet espace pour un regard en profondeur sur VeraCrypt.

Ceux qui préfèrent faire confiance au code déjà audité peuvent trouver des versions héritées du logiciel dans le référentiel de versions finales TrueCrypt (nous avons un guide complet sur l'utilisation de TrueCrypt disponible ici), tandis que ceux qui se méfient encore de TrueCrypt (une position tout à fait compréhensible dans notre (malgré les nouvelles découvertes), vous aimerez peut-être consulter notre article sur les 5 meilleures alternatives open source à TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me