16/12/2024

Logiciel - OS

TrueCrypt : Véritable mise à mort ou stratagème ?

Le très célèbre et très utilisé logiciel de chiffrement de disque dur, TrueCrypt, a annoncé mercredi soir, de façon très curieuse, l'arrêt de son développement.

La mystérieuse page du site officiel

Le site officiel de l'application, est remplacé par une vulgaire page où la première phrase que l'on peut lire est : "ATTENTION : Utiliser TrueCrypt n'est pas sûr, il peut contenir des failles de sécurité non-comblées".

truecrypt8

Toujours d'après cette même page, le développement de ce logiciel est officiellement arrêté... Surprenant pour un logiciel que l’ANSSI a audité et certifié au titre de la CSPN, en septembre 2013. La raison de cet arrêt serait liée directement à la fin du support de Windows XP car ce serait le seul OS populaire sans outil de chiffrement intégré, comme BitLocker.

D'ailleurs, ce même BitLocker est recommandé sur cette page pour les utilisateurs de Windows où l'on retrouve un tutoriel sur la configuration de BitLocker : "Migrer de TrueCrypt à BitLocker". Difficile de croire que les développeurs de TrueCrypt abandonneraient le développement de l'application au profit de la solution Microsoft.

L'arrivée étrange de la version 7.2

La dernière version stable de TrueCrypt est la 7.1a et date de 2012. Pourtant, une version 7.2 vient d'être mise en ligne sur le site officiel. Étrange comportement...

truecrypt6Rejetée et déconseillée par tout le monde, cette version a pourtant tout pour ressembler à une version officielle. En effet, elle est publiée sur Sourceforce tout en étant signée avec la clé appartenant aux développeurs, comme les précédentes.

Pour en savoir plus, nos confrères anglophones de chez The Register ont testé cette nouvelle version pour Windows, au sein d'une machine virtuelle par précaution.

Sous Windows 8.1, il s'est avéré que la protection SmartScreen a bloquée l'application, alors que sur une version plus ancienne de Windows elle s'exécute directement et affiche la nouvelle page d'accueil du site. Il s'agirait donc plus qu'une répétition inutile quant à la fin du développement de l'application plutôt qu'une nouvelle version évolutive. Mais, quel est l'intérêt de publier une telle version ?

L'audit du code

Depuis Octobre, un audit du code de TrueCrypt est financé afin de vérifier le vrai niveau de sécurité du logiciel, qui pouvait rester indéterminé jusqu'à maintenant malgré que l'ANSSI l'ait approuvée.

Concernant l'audit, la première phase du code révèle quelques problèmes sans remettre en cause la qualité de l'application. Concernant la seconde phase, qui correspond à une analyse cryptographique, elle devait commencer...

Alors, TrueCrypt, c'est réellement terminé ?

Diverses spécialistes en cyber-sécurité comme Brian Krebs, disent tout simplement "au revoir" à l'application TrueCrypt. Le compte parodique de la NSA est le seul à continuer à recommander le logiciel : "TRUECRYPT IS FINE PLEASE CONTINUE USING FOR ALL SECRET DOCUMENTS".

De leurs côtés les développeurs restent muets... Le mystère tourne autour de l'avenir de TrueCrypt...

Il pourrait s'agir d'une requête légale de l'Etat Américain, qui avait déjà fait fermer les portes du service de messagerie sécurisée Lavabit sans donner d'explication. Ce qui ressemble fortement au cas de figure de TrueCrypt.

Malheureusement et peu importe les raisons de cet abandon, tout cela semble prendre forme. Si vous devez continuer à utiliser l'outil TrueCrypt restait sur la version 7.1a. Et vous, que pensez-vous de tout ça ?

truecrypt7

Quelques liens complémentaires :

Lire l'article de The Register

Audit de TrueCrypt

Le tweet sur le compte parodique de la NSA

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.