La seconde est dernière phase de l’audit du logiciel de chiffrement de partitions disque TrueCrypt est désormais terminée. Un rapport a été publié, concluant qu’aucune porte dérobée volontaire n’a été décelée, ni aucune vulnérabilité critique.
Alors qu’il a été initié à l’automne 2013, l’audit de TrueCrypt 7.1a est enfin arrivé à son terme. La phase 2 de la cryptanalyse conclu à un rapport complet (PDF) rédigé par les consultants de Cryptography Services (NCC Group). Rappelons que cette version 7.1a sert de base aux nombreux forks open source du logiciel.
La conclusion de l’étude montre qu’aucun backdoor n’a été repéré ni aucune vulnérabilité critique. Seules 4 failles de moindre importance ont pu être découvertes et corrigées, mais toutes très difficilement exploitables. La sécurité de TrueCrypt dans cette version spécifique n’est donc pas menacée.
« Sur la base de cet audit, TrueCrypt semble être un logiciel de cryptographie relativement bien conçu. L’audit de NCC n’a révélé aucune porte dérobée délibérée, ou de graves défauts de conception qui exposeraient le logiciel au danger dans la plupart des cas », souligne-t-il dans un billet de blog.