TrueCrypt est mort, vive CipherShed

TrueCrypt est mort, vive CipherShed

Nouveau nom pour nouvelle vie

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

08/07/2014 2 minutes
34

TrueCrypt est mort, vive CipherShed

Le remaniement de TrueCrypt se fera désormais sous une nouvelle égide : « CipherShed ». Les développeurs ont finalement décidé de garder le nom qu’ils avaient donné au fork du code source de TrueCrypt opéré il y a un mois.

truecypt ciphershed

 

Le logiciel TrueCrypt, permettant notamment de chiffrer l’intégralité du contenu d’un disque dur, a vu son développement arrêté brutalement en mai dernier. Début juin, un regroupement de développeurs avait décidé de créer un fork, c’est-à-dire un embranchement à partir du code source, afin de le reprendre là où il s’était arrêté et de lui donner une nouvelle impulsion. Le projet était hébergé en Suisse pour éviter toute interruption.

 

Un mois plus tard, les membres du groupe ont décidé que le nom CipherShed allait rester. Quelle que soit la suite donnée au projet, le nom TrueCrypt disparaît pour se débarrasser en même temps de toute proximité avec un produit entouré finalement de polémiques. Cela étant, les raisons sont avant tout pratiques : « Comme beaucoup l’ont déjà remarqué, pour des raisons juridiques les noms qui contiennent crypt ou true ne sont pas de bons choix. En outre, la plupart des noms de domaines ont été stoppés et des restrictions s’appliquent aux autres noms ».

 

Cette annonce, qui vient d’être faite, en suit une autre : la réécriture complète du code au fur et à mesure, les pans les plus anciens datant… du début des années 90. Le remaniement de TrueCrypt n’en est donc qu’à ses débuts, d’autant que l’audit de sécurité n’est pas encore terminé.

34

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (34)


On prend les mêmes et on recommence en gros.


Je suis curieux de savoir comment fonctionne ce genre “d’association” sachant qu’ils doivent être une cible privilégiée de la NSA.


Il sera toujours multiplateforme ? Ou ils comptent faire le nettoyage du code Windows comme pour LibreSSL ?


Euh ptite question j’ai un disque crypter avec truecryp (cryptage totale du disque),

Est-ce que ce fork fait la même chose, genre ça va pas mettre le bazard dans ma collec ????









caesar a écrit :



Je suis curieux de savoir comment fonctionne ce genre “d’association” sachant qu’ils doivent être une cible privilégiée de la NSA.





Attention tout ceux qui ont : téléchargé, cherché sur google, installé ,écrit le mot, prononcé le mot , truecrypt ou CipherShed



sont des “extremistes” aux yeux de la NSA (à l’image de tor & tails …)









caesar a écrit :



Je suis curieux de savoir comment fonctionne ce genre “d’association” sachant qu’ils doivent être une cible privilégiée de la NSA.







1- Rester en Suisse

2- Pas de compte de soutien Paypal

3- Isoler le LAB d’internet



<img data-src=" />



La question de la licence m’interpelle, il me semblait avoir lu que TrueCrypt n’était pas libre.


Ca restera donc rétro-compatible avec les conteneurs TC, au moins le temps de les migrer ?



J’aime bien le concept du projet forké qui est au final réécrit, moi j’appelle ça un nouveau projet <img data-src=" />


C’est quand même pas terrible niveau coïncidences qu’ils décident de changer le nom et de réécrire le code juste au moment où un audit de l’ancien code est en cours…



“Continuez à auditer l’ancien code, on va mettre la backdoor sur le nouveau” <img data-src=" />








ben314 a écrit :



Euh ptite question j’ai un disque crypter avec truecryp (cryptage totale du disque),

Est-ce que ce fork fait la même chose, genre ça va pas mettre le bazard dans ma collec ????







Je serais toi, je decrypterais rapidement mon dur avant d’avoir des problemes avec un logiciel abandonné…









Nargas a écrit :



La question de la licence m’interpelle, il me semblait avoir lu que TrueCrypt n’était pas libre.





J’ai aussi lu ça. Donc les développeur originaux de TrueCrypt, qui en détiennent les droits, pourraient attaquer ceux de CipherShed pour contrefaçon s’ils le voulaient. Sauf qu’ils ne le feront pas.



Grande nouvelle !

Qu’est-ce que ca fout dans les brèves, ca ?








wyse a écrit :



1- Rester en Suisse

2- Pas de compte de soutien Paypal

3- Isoler le LAB d’internet



<img data-src=" />





On peut pirater un PC via les hauts-parleurs et les micro <img data-src=" />



Mais effectivement, le simple fait d’avoir un réseau non connecté au Net est déjà un GROS parefeu <img data-src=" />



Concernant l’organisation (et la confiance qu’on peut ou pas avoir en elle), le message 5 de cette page du forum explique les détails.

https://forum.truecrypt.ch/t/safeguards-against-nsa-infiltration/185/5



Mon résumé/traduction rapide :

-&gt; La fondation/association basée en Suisse “TrueCrypt.ch” acceptera les dons et est totalement séparée du projet à but non lucratif CipherShed. Elle comprend entre autres un mec qui est vice président du Parti Pirate.

-&gt; CipherShed s’occupera du code (et ne recevra pas d’argent de personne). Ils comparent ça à la structure de la fondation Apache. Le tout est en FOSS (Libre et Open Source), c’est donc un effort de collaboration internationale, de contributeurs individuels gérés par un Comité de Gestion de Projet (PMC) dont l’identité des membres est publiée (grosse différence par rapport à avant) et dont le rôle principal est de s’assurer que tout ce qui est ajouté au code est safe, concrètement que la NSA ne vienne pas y mettre une backdoor.

-&gt; Enfin il y a l’organisation d’audit (Open Crypt Audit), évidemment indépendante du reste, et qui comprend apparemment des gens de confiance dans le domaine. C’est celle qui a publié ses premières conclusions qui disaient en gros qu’il n’y avait pas de faille critique.

—————————————-



Donc par rapport à avant, on a + de transparence sur l’organisation. Le but étant de savoir en qui on place notre confiance, ils disent qu’on ne peut pas se fier à une personne, n’importe qui peut se faire corrompre par 1M de dollar et/ou une espionne sexy, mais ils espèrent construire une confiance en l’équipe, d’ailleurs ils imposent aux contributeurs d’être en contact en audio-conférences pour pouvoir se reconnaitre à la voix. Donc leur philosophie centrale semble être la bonne selon moi : la paranoïa totale !



Après est ce qu’on peut avoir confiance ? J’aimerais bien le savoir. Personnellement pour l’instant je continue à utiliser et avoir à peu près confiance en la dernière (enfin l’avant dernière parce que la dernière…lol) version de TrueCrypt. A vrai dire tout ce qui s’est passé a même un peu renforcé ma confiance en cette version, car si la NSA y avait eu ses petites backdoor qui vont bien les développeurs n’auraient sans doute pas eu tant de problèmes…








neo13006 a écrit :



n’importe qui peut se faire corrompre par 1M de dollar et/ou une espionne sexy,







Faudra rajouter au moins 3 zéro dans mon cas, et pour l’espionne bof , la gente féminine et très répandu (heureusement <img data-src=" /> ).









amikuns a écrit :



Faudra rajouter au moins 3 zéro dans mon cas, et pour l’espionne bof , la gente féminine et très répandu (heureusement <img data-src=" /> ).







Bon bah malgré ton avatar ça me rassurerait que tu participes au projet alors <img data-src=" />









wyse a écrit :



1- Rester en Suisse

2- Pas de compte de soutien Paypal

3- Isoler le LAB d’internet



<img data-src=" />





Les montagnes suisses sont pleines d’abris anti-atomiques. Ils doivent être dans un trou/crypte.









KP2 a écrit :



Je serais toi, je decrypterais rapidement mon dur avant d’avoir des problemes avec un logiciel abandonné…







Pourquoi « rapidement » ? Dans 5 ans, l’exe de ton Truecrypt fonctionnera toujours, tu pourras toujours déchiffrer (et non décrypter) ton fichier. Ils ne vont pas s’auto-détruire parce que le logiciel n’est plus maintenu.







neo13006 a écrit :



Personnellement pour l’instant je continue à utiliser et avoir à peu près confiance en la dernière (enfin l’avant dernière parce que la dernière…lol) version de TrueCrypt.







Mais Marge, de quoi qu’tu causes ? <img data-src=" />









zitrams a écrit :



[quote:5084341:wyse]



1- Rester en Suisse

2- Pas de compte de soutien Paypal

3- Isoler le LAB d’internet



<img data-src=" />





Les montagnes suisses sont pleines d’abris anti-atomiques. Ils doivent être dans un trou/crypte.

[/quote]

<img data-src=" />







Jarodd a écrit :



Pourquoi « rapidement » ? Dans 5 ans, l’exe de ton Truecrypt fonctionnera toujours, tu pourras toujours déchiffrer (et non décrypter) ton fichier. Ils ne vont pas s’auto-détruire parce que le logiciel n’est plus maintenu.





oui et non : windows semble augmenter la vitesse des version , veulent abandonner au profit du tout dotnet , sous mac pas forcement mieux donc

il est tout a fait possible (selon moi) que dans 5 /10 ans tu aura beau avoir l’executable il ne sera peut-être plus installable sur ta machine (d’ici la tout sera peut -être ss android ou chrome os <img data-src=" /> avec des tablettes voir même des client leger relié au cloud de la NSA genre client citrix)









Jarodd a écrit :



Pourquoi « rapidement » ? Dans 5 ans, l’exe de ton Truecrypt fonctionnera toujours, tu pourras toujours déchiffrer (et non décrypter) ton fichier. Ils ne vont pas s’auto-détruire parce que le logiciel n’est plus maintenu.







Ben ca, t’en sais rien mon gars…

Le monde et surtout ton OS ne s’arretent pas de mettre a jour parce que t’as des fichiers cryptés avec une appli morte.



Faut pas oublier que TrueCrypt est un logiciel assez bas niveau. Et plus c’est bas niveau, plus les MAJ de l’OS peuvent le faire bugger ou carrement l’empecher de fonctionner. Les Antivirus ne sont pas les derniers aussi pour chercher a controler et parfois bloquer abusivement des operations bas niveau.



Et c’est sans compter si notre ami rencontre un probleme materiel ou cherche a migrer vers une machine neuve. Il n’est meme pas sur de pouvoir telecharger de nouveau l’installeur.

Si c’etait un logiciel de dessin quelconque, on en aurait rien a foutre effectivement. Mais pour une appli qui stocke des données cryptées, l’arret du support est autrement plus grave.



Bref, a sa place, je decrypterai mes données aussi vite que possible en attendant de trouver une autre solution.









monpci a écrit :



Attention tout ceux qui ont : téléchargé, cherché sur google, installé ,écrit le mot, prononcé le mot , truecrypt ou CipherShed



sont des “extremistes” aux yeux de la NSA (à l’image de tor & tails …)





C’est une exigence dans mon taff. Tout notre boulot doit être conservé dans un conteneur truecrypt.



En même temps vu les questions et la petite fouille à laquelle j’ai eu droit lors de mon dernier passage aux US je pense que je suis déjà cramé <img data-src=" />









Khalev a écrit :



C’est une exigence dans mon taff. Tout notre boulot doit être conservé dans un conteneur truecrypt.



En même temps vu les questions et la petite fouille à laquelle j’ai eu droit lors de mon dernier passage aux US je pense que je suis déjà cramé <img data-src=" />





tu travailles dans quel domaine ?









monpci a écrit :



tu travailles dans quel domaine ?





Les cartes à puces (ça va de la carte d’accès à un batiment au passeport en passant par les cartes sim/bancaires/transports/etc).









zitrams a écrit :



Les montagnes suisses sont pleines d’abris anti-atomiques. Ils doivent être dans un trou/crypte.





<img data-src=" /> pour l’effort! <img data-src=" />









Jarodd a écrit :



Mais Marge, de quoi qu’tu causes ? <img data-src=" />







Je fais allusion à la version 7.2, publiée en mai, qui ne sert qu’à décrypter et surtout en laquelle personne ne croit. <img data-src=" />









zitrams a écrit :



Les montagnes suisses sont pleines d’abris anti-atomiques. Ils doivent être dans un trou/crypte.





Les abris anti-atomiques ne sont pas que dans les montagnes.

<img data-src=" />









KP2 a écrit :



Et c’est sans compter si notre ami rencontre un probleme materiel ou cherche a migrer vers une machine neuve. Il n’est meme pas sur de pouvoir telecharger de nouveau l’installeur.

Bref, a sa place, je decrypterai mes données aussi vite que possible en attendant de trouver une autre solution.





Le mode fin du monde quoi. <img data-src=" /><img data-src=" />









Drepanocytose a écrit :



Grande nouvelle !

Qu’est-ce que ca fout dans les brèves, ca ?





C’est juste un changement de nom de l’un des nombreux forks d’une vieille application (elle-même dérivée d’une autre)…









monpci a écrit :



oui et non : windows semble augmenter la vitesse des version , veulent abandonner au profit du tout dotnet , sous mac pas forcement mieux donc

il est tout a fait possible (selon moi) que dans 5 /10 ans tu aura beau avoir l’executable il ne sera peut-être plus installable sur ta machine











KP2 a écrit :



Ben ca, t’en sais rien mon gars…

Le monde et surtout ton OS ne s’arretent pas de mettre a jour parce que t’as des fichiers cryptés avec une appli morte.

[…]

Bref, a sa place, je decrypterai mes données aussi vite que possible en attendant de trouver une autre solution.









Loin de moi l’idée de vous contredire, car en effet vos scénarios sont plausible,



1- Mais j’ai un PC de 5ans avec moi, donc je pense que mon PC d’aujourd’hui restera également longtemps avec moi



2- on peut toujours installer une VM









KP2 a écrit :



Je serais toi, je decrypterais rapidement mon dur avant d’avoir des problemes avec un logiciel abandonné…







Parce qu’on peut le decrypter comme ça avec les data dedans ???









ben314 a écrit :



Parce qu’on peut le decrypter comme ça avec les data dedans ???





bah avec le mot de passe et/ou keyfile, + logiciel de decryptage dédié aux volumes truecrypt, Oui.



je sais pas à quoi tu fais allusion ou du moins pourquoi tu sembles étonné.

évidemment que l’on ne peut pas décrypter “comme ça” sans le mot de passe.



mais peut etre que tu parlais de décryptage “en place”, là je ne suis pas sûr car on peut le faire que si le mode de chiffrage était “tout le HDD”

ça marche pas sur les volume si je me souviens bien









Nissash a écrit :



bah avec le mot de passe et/ou keyfile, + logiciel de decryptage dédié aux volumes truecrypt, Oui.



je sais pas à quoi tu fais allusion ou du moins pourquoi tu sembles étonné.

évidemment que l’on ne peut pas décrypter “comme ça” sans le mot de passe.



mais peut etre que tu parlais de décryptage “en place”, là je ne suis pas sûr car on peut le faire que si le mode de chiffrage était “tout le HDD”

ça marche pas sur les volume si je me souviens bien







ouais je parlais de décryptage “en place” et c’est tout le HDD….



Du coup j’vais peut-etre le faire, ça m’arrangerai avant de passer ma machine sous linux…









ben314 a écrit :



ouais je parlais de décryptage “en place” et c’est tout le HDD….



Du coup j’vais peut-etre le faire, ça m’arrangerai avant de passer ma machine sous linux…





ok, au temps pour moi <img data-src=" />



Encore heureux que je passais par les brèves pour voir ça ! <img data-src=" />