Passer au contenu

Peut-on encore avoir confiance dans le chiffrement de TrueCrypt ?

Le coup d’arrêt donné au développement de ce logiciel de chiffrement populaire a semé le trouble dans le monde de la sécurité informatique. Pourtant, il n’y a pas de quoi être inquiété dans l’immédiat. D’autant que la relève s’organise déjà.

Panique générale dans le milieu de la sécurité informatique. Le 28 mai dernier, les développeurs de TrueCrypt, un logiciel open source permettant de chiffrer tout ou partie d’un support de stockage, ont indiqué par un message assez lapidaire que la sécurité de cet outil assez populaire n’était plus assurée. « Attention : l’utilisation de TrueCrypt n’est pas sûre, car il peut contenir des problèmes de sécurité non résolus », peut-on lire en rouge sur la page Sourceforge du projet.

Les développeurs précisent par ailleurs avoir stoppé le développement de TrueCrypt « maintenant que Microsoft a arrêté le support de Windows XP ». Ce texte est suivi par un tutoriel pour aider les utilisateurs sous Windows à migrer leurs données chiffrées vers BitLocker, une technologie de chiffrement développée par Microsoft. Pour les plateformes Mac et Linux, ils conseillent d’utiliser les outils intégrés au système.

TrueCrypt a été audité très récemment

Cette façon abrupte de présenter les choses a laissé pantois la plupart des experts en sécurité. Les développeurs auraient-ils subi des pressions des agences gouvernementales américaines, comme cela s’était produit avec Lavabit ? La NSA a-t-elle inséré une porte dérobée dans le code ? Ou bien les développeurs ont-ils tout simplement lâché l’affaire, estimant que le projet avait vécu sa vie ? En fait, personne ne sait, car les développeurs sont anonymes et ils n’ont rien dit de plus.

Pour autant, rien ne permet dire qu’il y a vraiment péril en la demeure. En février dernier, des experts indépendants regroupés sous le nom Open Crypto Audit Project avait publié une première version de leur rapport d’audit sur TrueCrypt. Conclusion : les auditeurs n’ont pas identifié « de problèmes de grande gravité », ni « aucune preuve de portes dérobées ou de défauts intentionnels ». Certes « plusieurs faiblesses et des vulnérabilités communes relatives au noyau ont été identifiées… mais aucune d’entre elles ne semblait présenter des vecteurs d’exploitation immédiats ».

L’Agence nationale de la sécurité et des systèmes d’information (ANSSI) était arrivée plus ou moins à la même conclusion. En octobre dernier, elle a conféré au logiciel un certificat de sécurité de premier niveau, attestant en particulier la robustesse des algorithmes de cryptographie et des générateurs d’aléas. Il n’y a donc pas de quoi fouetter un chat. Même le « Comité pour la protection des journalistes » le dit. « Les journalistes peuvent continuer à utiliser TrueCrypt, en tous les cas pour le moment », estime cet organisme indépendant qui défend la liberté de la presse. Compte tenu des conséquences dramatiques que peut avoir l’espionnage dans certains pays, cet avis n’a certainement pas été formulé à la légère.

Plusieurs « forks » en vue

Néanmoins, l’ANSSI recommande de migrer vers d’autres solutions « en vertu du principe de précaution ». A ce titre, l’agence cite les logiciels Cryhod, Zed !, ZoneCentral, Security Box et Stormshield. Les auteurs de produits vont certainement se frotter les mains, car il existe un vrai besoin en chiffrement, ne serait-ce que parce que BitLocker n’est disponible que sur les versions Entreprise et Intégrale de Windows 7 et les versions Professionnelle et Entreprise de Windows 8. Les particuliers sensibles à la sécurité se dirigeaient plutôt vers TrueCrypt.

Certains développeurs estiment nécessaire l’existence d’un logiciel de chiffrement open source. C’est pourquoi deux projets open source ont déjà vus le jour, dans le but d’élaborer une alternative à TrueCrypt : CipherShed et truecrypt.ch.

TrueCrypt est peut-être mort, mais son code survivra sous une autre forme.       

Lire aussi:

Mettez vos documents confidentiels à l’abri des curieux, le 17/05/2013

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn