TrueCrypt et sa licence

, par  Genma , popularité : 2%

TrueCrypt ça pue c’est pas libre

Sur Wikipedia, sur l’article TrueCrypt dans la section licence, on peut lire La licence collective TrueCrypt ne remplit pas les critères de la définition de l’Open Source, et n’a donc pas été approuvée par l’Open Source Initiative. Ce logiciel n’est pas considéré comme libre par plusieurs grandes distributions GNU/Linux (Debian, Ubuntu, Fedora, openSUSE, Gentoo8). Il est en revanche parfaitement possible de l’utiliser sur ces distributions.

Pour avoir plus de détails sur les problèmes liés à cette licence, il y a un mail sur la mailling list de Freesdekstop sur les points de la licence posant problème http://lists.freedesktop.org/archives/distributions/2008-October/000276.html

Il y a par exemple, le fait de ne pas pouvoir revendre une version modifiée, et bien que la version modifiée soit acceptée et fournie avec ses sources, le fait de ne pouvoir demander une rémunération fait que cette licence n’est pas libre.

Le cas Fedora

La distribution Fedora n’inclut pas TrueCrypt, comme on peut le lire sur son wiki :
https://fedoraproject.org/wiki/Forbidden_items?rd=ForbiddenItems#TrueCrypt

The TrueCrypt software is under a poor license, which is not only non-free, but has the potential to be actively dangerous to end users or distributors who agree to it, opening them to possible legal action even if they abide by all of the licensing terms, depending on the intent of the upstream copyright holder. Fedora continues to make efforts to try to work with the TrueCrypt upstream to fix all of the issues in their license so that it can be considered Free, but have not yet been successful.

Fedora Suggests : cryptsetup allows to map existing Truecrypt device since version 1.6 (Fedora 18). For full functionality tcplay is an independently developed TrueCrypt-compatible program under the BSD license. It is available in the official Fedora repository. It is recommended if you need TrueCrypt compatibility.

Ce que je traduirais librement par :

Le logiciel TrueCrypt est sous une mauvaise licence, qui non seulement n’est pas libre, mais qui est potentiellement dangereuse pour les utilisateurs ou les distributions qui l’acceptent, car elle peut conduire à d’éventuelles poursuites judiciaires même si l’on s’est conformé à toutes les conditions de la dite licence, selon le bon vouloir du détenteur des droits d’auteurs. Le projet Fedora continue ses efforts pour essayer de travailler avec l’équipe TrueCrypt en amont, ce afin de résoudre les différents problèmes de leur licence, de sorte qu’elle puisse être considéré comme libre, mais ces négocations n’ont pas encore abouti.

Fedora suggère : le logiciel cryptsetup qui permet de monter des conteneurs TrueCrypt existant depuis la version 1.6 (Fedora 18), ce afin d’avoir la pleine comptabilité avec la fonctionnalité tcplay, un programme compatible TrueCrypt a été développé indépendamment sous la licence BSD. Il est disponible dans le dépôt officiel de Fedora. Il est recommandé de l’utiliser si vous avez besoin d’une compatibilité TrueCrypt.

Il est à noter que Fedora ne fournit d’ailleurs pas certains packages / logiciels de cryptographie (liste non précisé) car ils poseraient des problèmes pour cause de brevet liés aux USA.

Le cas Tails

Tails est une distribution live permettant d’utiliser (entre autre) Tor pour tout son trafic Internet.

Sur la page concernant TrueCrypt de son site, on peut lire : Bien que TrueCrypt semble être un logiciel libre, des soucis quant à sa licence empêche son intégration dans Debian. Truecrypt est également développé de manière fermée, alors bien que le code source soit librement disponible, celui-ci à moins de chance d’être revu que s’il était développé de manière ouverte.

Pour toutes les raisons précédentes, les développeurs de Tails ne recommandent pas TrueCrypt. Nous incluons TrueCrypt seulement pour permettre aux utilisateurs du (désormais vieux et non maintenu) système live Incognito d’accéder aux données sur les médias anciennement crées.

Dans le futur, nous voudrions remplacer TrueCrypt par une alternative compatible. Cependant, il se peut qu’il se passe un certain temps durant lequel ce ne sera pas possible, et que se séparer de TrueCrypt soit la seule voie que nous puissions suivre. Cela signifie que vous ne devriez pas créer de nouveaux médias TrueCrypt si vous projetez d’utiliser Tails sur le long terme.

Là encore, on a le même problème lié à la licence de TrueCrypt. Mais le logiciel est inclus car il est ce une nécessité et de qualité.

L’avis du Genma autour de cette polémique

TrueCrypt fait partie des outils certifiés CSPN par l’ANSSI (Ministère de la Défense Française). De plus, un regard rapide sur les points de détails posant problème dans la licence me font dire que l’on est dans du pinaillage de libriste intégriste. Je l’utilise depuis des années, j’en suis entièrement satisfait et il répond parfaitement à mes besoins. Multi-plateforme/OS, je ne lui ai pas trouvé d’alternative équivalente.

Quand à sa fiabilité intrinsèque, je vous invite à lire la suite de cet article.

Pas de backdoor apparente

Pour Windows, l’équipe de TrueCrypt, bien que fournissant les sources, fournit également un binaire directement compilé et c’est ce logiciel, sous forme binaire, que l’on utilise à son installation (idem pour Linux). Sur son blog, Korben a repris une news d’un site anglophone, évoquant l’étude du binaire pour y déterminer l’existence d’éventuelle backdoor. Je cite les parties importantes :

Pour cela, il a pris le temps de recréer entièrement l’environnement de compilation utilisé par l’équipe de TrueCrypt pour compiler lui-même et à l’identique les sources de la version 7.1a et ainsi comparer les 2 binaires grâces à un éditeur hexadécimal.

Oui, il existe des différences entre les binaires, mais elles sont tellement minimes (des histoires de timestamp...etc.) qu’il ne peut s’agir d’une backdoor. Donc si on part du principe que le compilateur utilisé n’ajoute pas de porte dérobée, on peut en conclure que TrueCrypt est clean.

Article complet sur http://korben.info/truecrypt-backdoor.html

Audit du code de Truecrypt

TrueCrypt étant un logiciel Open-source (pas libre, mais open-source), un projet d’audit du code, financé par une plateforme de crowdfounding a été lancé :http://istruecryptauditedyet.com/

Si le financement est atteint, le code sera revue en profondeur, permettant un audit, la correction d’éventuelles failles de sécurité et de bugs, et une validation de ce logiciel.

Précautions à prendre en l’installant

Ne prendre que la version officielle depuis le site. Pas une version d’un copain, et encore moins d’un site de Warez. En effet, comme le démontrait l’article http://exploitability.blogspot.fr/2010/08/truecrypt-will-never-be-same-ya-dun.html

Est-il si compliqué que de le modifier pour qu’il logue les mots de passe quelque part ? Il s’agit en effet d’un programme open source. La réponse tient en 6 lignes de code.

Il est possible de modifier le code pour lui faire faire ce que l’on veut.... D’où tout l’intérêt de prendre le binaire à la source (http://www.truecrypt.org/downloads). Et de vérifier le paquet télécharger avec la signature de la clef GPG fournie.

A lire également
 Comment fonctionne TrueCrypt ?
 Les différents articles taggués TrueCrypt