Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Chiffrement » TrueCrypt compromis ? Qu’en penser ?

TrueCrypt compromis ? Qu’en penser ?

D 3 juin 2014     H 09:00     A Genma     C 2 messages   Logo Tipee

TAGS : TrueCrypt Chiffrement

Jeudi dernier l’information est tombée : TrueCrypt ferme pour insécurité, et conseille de faire confiance à... Microsoft. Depuis mercredi soir, le site officiel du logiciel de chiffrement TrueCrypt indique que le développement est désormais terminé. Il n’y a désormais plus qu’une page pour expliquer aux utilisateurs sous Windows comment activer BitLocker, la solution de chiffrement intégral que Microsoft propose avec certaines éditions des derniers Windows. Source
Je vous invite à lire les deux liens cité ci-dessus pour en savoir plus, ici, quelques jours après, avec un peu de recul, je voudrais donner mon point de vue.

Un avis

Nombreux ont été les articles plus ou moins spéculatifs car en fait, on ne sait rien. On ne sait pas ce qui c’est passé et beaucoup d’éléments sont des suppositions. Cette partie reprend des éléments du texte TrueCrypt & Towels : Do NOT move over to Bitlocker ! que j’ai traduit de l’anglais vers le français, car il me semble pertinent pour donner l’information que l’on a actuellement.

14 avril 2014 : la phase I de la vérification de l’audit est terminée, et le rapport est disponible. La Phase II commence alors sur la cryptanalyse formelle. Une des personnes impliquées dans l’audit de code / de sécurité a dit qu’il n’a pas été en mesure d’atteindre les développeurs (qu’il connaît apparemment) pour savoir ce qui se passe. Le développeur aurait répondu que la version utilisée dans l’examen - 7.1a - avait eu quelques problèmes mineurs, mais rien de critique.

Concernant l’arrêt de TrueCrypt. Ca n’a pas de sens. Silence sur défaillance ? Ont-ils reçu une lettre de la NSA comme Lavabit ? Si c’était un détournement par un des acteurs étatiques, il est sûr que cela ne peut fonctionner, l’avant-dernière version (qui décrypte pas seulement, mais peut chiffrer) est toujours disponible , en maintenant de nombreux endroits. Le code source est disponible et ce code peut être amélioré avec les résultats de l’audit. L’audit de sécurité TrueCrypt sera donc utile, et pourtant les développeurs ont quitté le navire...

Que devenons nous (ne pas) faire ?

 Ne paniquez pas. Et sachez où est votre serviette (Don’t panic. Know where your towel is. Allusion à The Hitchhiker’s Guide to the Galaxy - Le guide du routard intergualactique)
 Ne migrez pas vers Bitlocker.
 N’utilisez pas eCryptfs. Il est faillible du fait de sa conception
 Ne migrez pas vers du logiciel propriétaire.
 Vous pouvez garder la dernière version 7.1 de TrueCrypt mais ne MIGRER SURTOUT PAS vers une version plus récente ou tout autre outil.
Et maintenant ? Attendons plus d’informations de la part des développeurs.

L’avis du Genma

Utilisateur de TrueCrypt depuis des années, j’ai écris quelques articles sur le sujet et c’est un des outils que l’on recommande lors des Café vie privée. Avant tout, je conseille de connaître son modèle de menace. Et d’agir en conséquence. Si TrueCrypt vous semble compromit, inutilisable dans le cadre de ce modèle, utilisez autre chose. Personnellement, je continuerai de l’utiliser. Il m’est suffisamment utile et est suffisamment sécurisé pour mon besoin.

Si vous voulez récupérer la vraie dernière version, pensez à vérifier l’intégrité des fichiers et les signatures de ces fichiers (voir Comment vérifier l’intégrité d’un fichier que l’on télécharge ?). C’est ce que j’ai fait pour les fichiers que j’avais déjà récupéré, bien avant que l’on ait l’annonce.

Apparemment, un groupe a décidé de reprendre le développement de TrueCrypt à partir des sources, mais en ligne la vrai dernière version. Il faudra donc désormais se tourner et suivre le site http://truecrypt.ch

Ne reste plus qu’à attendre et voir ce qui nous réserve l’avenir. Mais une fois encore Pas de précipitation, n’utilisez pas le premier logiciel de remplacement venu et si besoin, contactez moi pour vous rassurez/demander conseil/en discuter.

A lire également
 TrueCrypt et sa licence
 Comment fonctionne TrueCrypt ?
 Les articles flaggués TrueCrypt

Dans la même rubrique

14 février 2020 – KeepassXC - Faire des phrases de passe

7 septembre 2016 – Keepass au quotidien c’est possible

18 août 2016 – Une de mes clef GPG révoquée était une fausse

4 mars 2016 – Tails et Volume persistant

30 juillet 2015 – Calomel SSL Validation

2 Messages