L’affaire semble tellement improbable que beaucoup ont du mal à y croire. Le logiciel libre de chiffrement de volumes de disques Windows ne survivra pas à l’arrêt du support de Windows XP. A moins qu’une nouvelle équipe ne prenne le relais.
C’est une petite bombe dans le monde de la cryptographie. Alors qu’il est considéré comme un outil de référence pour chiffrer des données, et alors que les premiers résultats d’un audit communiqués le mois dernier ont rassuré sur l’absence de backdoors, le logiciel TrueCrypt ne serait finalement pas sûr.
L’équipe anonyme de développement de TrueCrypt, un logiciel open-source permettant de créer facilement un espace de stockage chiffré, a publié sur le site officiel un message d’avertissement et une nouvelle version de TrueCrypt, qui assurent que TrueCrypt n’est pas sûr. Ils conseillent d’utiliser BitLocker, la solution propriétaire de Microsoft. Les développeurs de TrueCrypt étant anonymes, il sera très difficile d’en savoir davantage. Le cryptographe Matthew Green, qui participe au programme Open Crypto Audit mis en place pour analyser le code de TrueCrypt, a dit qu’il avait tenté de les contacter pour avoir des explications, mais sans grand espoir. Il soupçonne qu’ils aient pu subir des pressions et décider de fermer TrueCrypt
Le groupe de développeurs qui semble difficile à identifier a déclaré sur sa page d’accueil que « le développement de TrueCrypt s’est terminé en mai 2014 du fait de l’arrêt du support par Microsoft de Windows XP. Windows 8/7/Vista et les versions plus récentes offrent des fonctionnalités intégrées de chiffrement de disques et d’images de disques virtuels… » Et de conseiller les utilisateurs de TrueCrypt de migrer sans tarder leurs données vers des solutions qui continueront à être supportées sur leur plate-forme. Autrement dit d’utiliser plutôt BitLocker de Microsoft.
En guise d’au revoir, l’équipe TrueCrypt fournit même un tutoriel pour migrer ses données vers BitLocker. Une nouvelle équipe pourrait terminer les tests de sécurité… les membres de l’initiative Open Crypt Audit Project ont fait savoir qu’ils comptaient poursuivre l’audit de sécurité du programme. La phase 1 s’est achevée ce printemps et la phase 2 va donc avoir lieu.
TrueCrypt a pourtant bénéficié ces derniers mois du soutien d’Edward Snowden ce qui avait permis d’engranger des fonds pour auditer sa sécurité. D’après l’agence Reuters, les premiers tests auraient été positifs, ce qui motiverait une nouvelle équipe à aller jusqu’au bout des tests puis à prendre le relais pour le développement malgré le risque de pressions de la NSA pour qui est insupportable le fait de ne pouvoir accéder aux volumes chiffrés par TrueCrypt. A noter aussi que les versions 6.0a et 7.1a de TrueCrypt ont obtenu la certification de sécurité de premier niveau délivrée par l’ANSSI, qui “permet d’attester que le produit a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par l’ANSSI“, via l’analyse de “la conformité du produit à ses spécifications de sécurité” et en mesurant “l’efficacité des fonctions de sécurité“.
Sources : Numerama, L’Informaticien, Twitter
Etrange, ça sent le coup de force
Thomas Bruderer et Joseph Doekbrijder ont décidé de reprendre le flambeau et l’aventure va continuer =)
Les commentaires sont fermés.