TrueCrypt

Que penser de TrueCrypt ? C'est l'un des plus étonnants mystères de ces dernières années dans le petit monde de l'informatique.

TrueCrypt est un utilitaire permettant de chiffrer ses documents, voire des volumes entiers sur vos disques plus ou moins durs. Très utilisé, et même recommandé par des personnes de confiance, l'utilitaire a disparu du jour au lendemain (littéralement), sans donner d'explication convaincante[1]. D'autant plus étonnant que des initiatives avaient abouti à la réalisation d'un audit du code (qui est à peu près en open source), sans que l'on trouve en première approche de grosse faille ou de faiblesse particulière, à peine un mois plus tôt.

Une communication discrète...

L'équipe de développement s'est toujours montrée discrète, ce qui est la fois un gage de sécurité (au sens où il est alors difficile de faire pression sur les auteurs) mais aussi une source d'inquiétude car il est alors impossible de connaître la notoriété ou la réputation des personnes impliquées.

...jusqu'à la fermeture !

Car ce jour là, le site fut modifié brutalement pour indiquer que le logiciel ne devait plus être considéré comme sûr, et qu'il fallait se tourner vers BitLocker, le produit de chiffrement de Microsoft dont la sécurité est difficilement évaluable puisqu'il s'agit d'un produit commercial, dont les sources sont inconnues (le retro engineering étant interdit sur les produits Microsoft), et surtout en provenance d'un éditeur soumis comme tous les autres à la législation américaine et aux agences fédérales.

Pourquoi ?

On nage alors dans le paradoxe : les développeurs de l'outil permettant d'échapper au big brother promeuvent d'un seul coup un outil sur lequel plane la suspicion ! Certains penchent pour un gag order, qui consiste en une obligation de silence, pratique relativement usuelle en droit anglo-saxon, en lien avec par exemple une interdiction de continuer à développer le logiciel (j'imagine) ou l'obligation d'y inclure une porte dérobée, ce qu'auraient refusé évidemment les développeurs.

D'autres pensent à de gros problèmes de structure et de conception, n'induisant pas de faille majeure au moment de l'examen du code, mais que les avancées technologiques rendent nécessaires de revoir, avec un coût de réécriture trop important pour les développeurs.

On peut aussi penser que c'est par lassitude, ou suite à la découverte de leur propre chef d'une faille trop importante, mais cela me semble peu probable au vu de leur communication quasi-provocatrice.

Par ailleurs, la dernière version publiée (7.2) de l'outil a été expurgée de toutes les parties de code concernant le chiffrement, ne laissant à l'utilisateur que la possibilité de déchiffrer ses données, pour ne pas les perdre, mais sans plus pouvoir les protéger. Pourquoi s'en donner la peine ? Sauf dans le cas d'une faille béante dans le mécanisme de chiffrement qui le rendrait impropre à une protection correcte des données, mais aucun des audits postérieurs à cet arrêt n'a révélé de tels problèmes.

Peut-on encore l'utiliser

Certains le font. En tout cas la version 7.1a[2], la dernière contenant toutes les fonctionnalités et qui a été auditée, sans qu'on n'y trouve de faille sévère.

Références

  1. Yves Eudes, « L'étrange disparition du logiciel de chiffrement TrueCrypt », sur lemonde.fr, (consulté le 14 février 2018)
  2. (en) Alex Balducci, Sean Devlin, Tom Ritter, « Open Crypto Audit Project TrueCrypt, Cryptographic Review » [PDF], sur opencryptoaudit.org, (consulté le 14 février 2018)