Alors que l’outil de chiffrement VeraCrypt vient de passer en version 1.18 avec de lourdes améliorations, des tensions apparaissent du côté de l’OSTIF et de QuarksLab lors de l’audit de sécurité qui vient de démarrer. Plusieurs mails des chercheurs auraient disparu après une mystérieuse interception et l’espionnage d’Etat est redouté.
L’outil de chiffrement de disque VeraCrypt développé par Mounir Indrassi, devenu le logiciel open source de chiffrement le plus populaire depuis l’arrêt du support officiel de TrueCrypt (il est d’ailleurs basé sur TrueCrypt 7.1a), vient tout juste de passer en version 1.18, en apportant d’importantes évolutions comme le support du chiffrement sur les ordinateurs et tablettes équipés d’un UEFI (avec l’aide du développeur russe Alex Kolotnikov). De même, un audit de sécurité a aussi débuté après la sortie de cette dernière édition, en utilisant des fonds donnés par DuckDuckGo et VikingVPN, grâce auxquels l’OSTIC a pu embaucher des chercheurs de chez QuarksLab pour débusquer d’éventuelles vulnérabilités ou faiblesse au sein du code source de VeraCrypt.
VeraCrypt est très utilisé, notamment par des militants, des journalistes d’investigation ou tout simplement des personnes souhaitant conserver un haut niveau de sécurité sur le plan personnel ou professionnel.
Comme l’indique NextInpact, VeraCrypt 1.18 intègre des algorithmes de chiffrement supplémentaires, que l’utilisateur peut choisir d’utiliser à la place du classique AES et des autres outils occidentaux déjà en place (Serpent et TwoFish). De plus, l’algorithme japonais Camellia fait ainsi son entrée, avec ses homologues russes Kuznyechik (accompagné de Streebog pour le hashage) et Magma (ou GOST R 34.12-2015). L’intégration d’algorithmes venus d’autres pays a pour but d’améliorer la confiance dans le logiciel. AES reste le choix par défaut dans VeraCrypt, mais n’est pas la solution la plus sûre aujourd’hui, même s’il est privilégié pour sa vitesse et son intégration matérielle répandue.
Fortes suspicions d’espionnage de l’audit
Le OSTIF a annoncé le 13 août que ses communications confidentielles avec QuarkLabs chiffrées avec PGP à propos de l’audit de sécurité de VeraCrypt avaient mystérieusement disparues après avoir été interceptées.
“Nous avons un total de quatre messages électroniques qui ont disparu sans laisser de trace, provenant de plusieurs expéditeurs indépendants” explique l’OSTIF. “Non seulement les mails ne sont pas arrivés, mais il n’y a aucune trace des mails dans nos dossiers d’envoi. Dans le cas de l’OSTIF, c’est au sein de Google Apps for Business Gmail que ces mails envoyés ont disparu.“
« Si des États-nations sont intéressés par ce que nous faisons, nous devons faire quelque chose de bien non ? » ironise l’association. Mounir Idrassi explique que l’épisode a seulement causé un léger retard pour certaines questions, sans plus, même s’il considère que c’est « du jamais vu ! ».
Les informations liées à l’audit de sécurité VeraCrypt hautement confidentielles et étaient fortement chiffrées.
VeraCrypt 1.18 pour Windows, mac OS et Linux est téléchargeable sur le site officiel du projet.