TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.
Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :
ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés
Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !
Les faits
Le sous-domaine de Sourceforge hébergeant le projet indique que le développement de TrueCrypt a pris fin en mai 2014, suite à la fin de la période de support de Windows XP et que les systèmes plus récents de Microsoft offrent de base un système de chiffrement. En effet, il est dit que Windows était la cible principale, ce qui expliquerait aussi que la page d’accueil ne dispose que d’informations pour migrer, sous Windows, vers Bitlocker.
En bas de page, il y a un lien vers les instructions pour migrer, depuis Mac OS X, vers la solution intégrée dans ce système d’exploitation, ainsi qu’un équivalent poli de « Google est ton ami » pour les utilisateurs de GNU/Linux (qui pourront se rabattre sur tc-play, voir plus bas). Ce qui étonne certains, c’est que les deux tutoriels conseillent de migrer vers des solutions dont le code source n’est pas accessible, sachant que les développeurs ne voulaient pas utiliser TPM car il pouvait être utilisé par des agences gouvernementales pour récupérer des clés privées.
Sur le site web, on peut télécharger une nouvelle version de TrueCrypt signée avec d’anciennes clés de chiffrement de l’équipe. Celle-ci ne permet que le déchiffrement des données et certains soupçonnent cette version de posséder une porte dérobée. Après tout, ça serait cohérent : miser sur la panique pour que les gens migrent en masse et récupérer un maximum d’informations sensibles…
Hypothèses
Entre soupçons de site cracké et clés utilisées pour signer les versions de TrueCrypt compromises, une pression du gouvernement ou la possibilité que l’alerte ait été mise en place pour protéger les gens d’une porte dérobée dans la dernière version complète de TrueCrypt, la paranoïa s’installe et les rumeurs se multiplient au point que même Le Monde en parle.
Des alternatives libres sous GNU/Linux
Heureusement, sous GNU/Linux on peut toujours utiliser l’utilitaire en ligne de commande tc-play ou un logiciel comme Zulucrypt qui fournit une interface graphique à tc-play (et à LUKS).
Mais la force de TrueCrypt, c’est d’avoir une interface simple à utiliser et d’être multiplateforme. D’un autre côté, même avec une solution de chiffrement auditée, on n’a toujours pas accès au code source de Windows ou de Mac OS X ; qu’espérer, alors, en terme de confidentialité de l’utilisation de ces outils ?
TrueCrypt toujours dans la course?
Néanmoins, il ne faut ni céder à la panique ni faire de suppositions hasardeuses. Même si a priori l’équipe originale ne fera plus de correction de bug, d'après ce billet de la Gibson Research Corporation, TrueCrypt est toujours sûr et on peut en trouver les anciennes versions sur le nouveau site truecrypt.ch tenu, entre autres, par l’ancien président du Parti Pirate suisse.
De plus, TrueCrypt est en train d’être audité et va continuer à l’être, devenant ainsi la première solution de chiffrement de grands volumes de données à avoir été auditée. L’équipe de l’Open Crypto Audit Project, qui s’occupait de cet audit, a aussi publié un miroir de la version 7.1a de TrueCrypt, après l’avoir audité.
Conclusion
Malgré le bruit que tout cela a provoqué, et jusqu’à preuve du contraire, TrueCrypt est toujours fiable ; de plus, il est possible de développer des implémentations alternatives, même si pour l’instant ça reste limité à tc-play sous GNU/Linux.
Annexe sur le caractère non-libre de TrueCrypt
Voir la partie Licence sur la page Wikipédia TrueCrypt, ainsi que les discussions chez Debian, Ubuntu, Redhat, Gentoo et Suse concernant ce logiciel.
- tc-play existe chez OpenSuse, ainsi que RealCrypt, un TrueCrypt démarqué
- tcplay existe chez Debian, pas TrueCrypt ni RealCrypt.
- tcplay existe chez Ubuntu, pas TrueCrypt ni RealCrypt
- tc-play existe chez Gentoo, pas TrueCrypt ni RealCrypt.
- TrueCrypt n'est pas dans la RHEL, ni dans Fedora, tandis que tcplay est dans Fedora.
Aller plus loin
- truecrypt.org (291 clics)
- truecrypt.sourceforge.net (127 clics)
- tc-play (160 clics)
- truecrypt.ch (399 clics)
- Journal évoquant l'affaire TrueCrypt (332 clics)
- Alternatives Open-Source de TrueCrypt (692 clics)
- Fonctionnement de TrueCrypt (95 clics)
# Certification ANSSI
Posté par l0ffr3d0 . Évalué à 7.
Et n'oublions pas que la version 7.1a a également une Certification de Sécurité de Premier Niveau (CSPN) délivrée par l'ANSSI : ICI
Le version 7.1a est toujours disponible sur le site truecrypt.ch
L.
# Pastebin
Posté par needs . Évalué à 8.
J'étais tombé je ne sais plus comment sur ceci. C'est un mail d'un des auteurs de TrueCrypt en réponse à une personne qui voulait reprendre un peu de code de TrueCrypt pour changer sa licence afin que tout le monde en profite. Il refuse ici poliment en invoquant le fait que de toute manière une réécriture complète était déjà envisagée et qu'il préfère que TrueCrypt soit réécrit entièrement.
C'est à prendre avec des pincettes, car je n'ai pas trouvé les mails originaux (si il y en a). À moins que pour communiquer anonymement, ils utilisent pastebin ?
# Théorie du complot
Posté par Ely . Évalué à 10.
Moi je sais ce qui se passe !
Si on prend le message sur le site :
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
Que l'on prend les premières lettres de chaque mot et qu'on met des espaces là où il faut :
uti nsa im cu si
Ce qui, en latin, veut dire "Si je veux utiliser la NSA" (preuve google trad )
Les créateurs du site veulent clairement nous faire passer un message…
[^] # Re: Théorie du complot
Posté par 2PetitsVerres . Évalué à 3.
Et le W ?
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Théorie du complot
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
"Wuti nsa im cu si" en albanais signifie "Mon NSA cu comme wutia" (preuve) qui se comprend comme le (oui masculin ou féminin c'est pareil en albanais) NSA te voit (see you en non-albanais) comme Wutia. Wutia étant un prénom commun dans le coin, donc on peut traduire par « individu lambda / n'importe qui ». Au final cela signifie donc « le NSA voit tout le monde ». CQFD.
[^] # Re: Théorie du complot
Posté par ariasuni . Évalué à 10.
Google trad pour étayer une théorie du complot, fallait l’oser. :p
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: Théorie du complot
Posté par wismerhill . Évalué à 5.
Ces gens-là ça ose tout…
[^] # Re: Théorie du complot
Posté par Denis Dordoigne . Évalué à 2.
C'est bon, avec ta grande capacité de décodage tu as réussi ton examen d'entrée aux RG : http://tarnac.blog.lemonde.fr/2014/06/14/episode-3-lhypothese-azf-un-da-vinci-code-facon-rg/
Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr
[^] # Re: Théorie du complot
Posté par l0ffr3d0 . Évalué à 3.
Ça sent le troll…
Mais quel est le but de Truecrypt ?
Se protéger de la NSA ou du mec qui te pique ton pc portable dans le train ou en sortant du boulot ?
L.
[^] # Re: Théorie du complot
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
Pour ça, il vaut mieux un taser!
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.