Depuis mercredi soir, le site officiel du logiciel de chiffrement TrueCrypt indique que le développement est désormais terminé. Il n’y a désormais plus qu’une page pour expliquer aux utilisateurs sous Windows comment activer BitLocker, la solution de chiffrement intégral que Microsoft propose avec certaines éditions des derniers Windows.
Le site officiel conseille d'utiliser BitLocker de Microsoft
Que se passe-t-il avec TrueCrypt ? Alors que cette célèbre solution de chiffrement était en cours d’audit et que les résultats étaient d’ailleurs moins mauvais qu'escomptés, le site officiel annonce tout à coup l’arrêt complet des travaux :
« Le développement de TrueCrypt a été stoppé en mai 2014 après que Microsoft a arrêté le support de Windows XP. Windows 8/7/Vista et les versions suivantes offrent un support intégré du chiffrement des disques et des images virtuelles. Un tel support est également disponible sur d’autres plateformes. Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme ».
S’ensuit alors un véritable guide explicatif sur la manière de chiffrer intégralement le contenu du disque dur en utilisant BitLocker de Microsoft sur Vista, Windows 7 et Windows 8. Mais ce que la page ne dit pas, c’est que toutes les éditions de Windows n’intègrent pas BitLocker : il faut posséder une version Professionnelle ou Intégrale.
Pourquoi un arrêt aussi brutal ?
Mais la vraie question qui se cache derrière ce brusque changement est : pourquoi ? Si l’on descend en bas de la page web, on trouve un lien vers une nouvelle version de TrueCrypt, estampillée 7.2. Pour autant, elle ne semble intégrer aucune nouveauté, mais son installeur présente le même texte d’avertissement que le site officiel. Plus grave, sous Windows 8.1, l’exécutable fait apparaître l’avertissement SmartScreen d’un potentiel comportement dangereux, comme a pu le constater The Register. Sur des versions plus anciennes de Windows, le logiciel refuse tout bonnement de chiffrer quoi que ce soit.
Il se pourrait en fait que le site ait tout simplement été piraté, mais les avis à ce sujet diffèrent très largement. L’expert en sécurité Brian Krebs explique sur son blog que plusieurs signes tendent à montrer que l’arrêt semble authentique. Par exemple, les enregistrements DNS et WHOIS ne montrent aucun changement particulier. Par ailleurs, la clé utilisée pour signer la version 7.2 est strictement la même que celle employée en janvier dernier. Même son de cloche pour le chercheur en cryptographie Matthew Green qui, bien qu’étant un détracteur de TrueCrypt, regrette que les développeurs aient arrêté l’aventure de manière si brutale.
L'audit de sécurité continuera
Mais alors qu’en est-il de l’audit démarré sur la base d’un financement participatif qui, avec ses plus de 70 000 dollars, avait largement dépassé son objectif ? Il va continuer. Kenn White, l’un des auteurs du projet d’audit dans un premier temps a indiqué qu’il n’avait aucune raison pour expliquer un tel revirement de la part des développeurs. Cependant, comme on peut le voir sur le compte Twitter officiel du projet, (@OpenCryptoAudit), l’audit va se poursuivre : « Nous continuerons avec la cryptanalyse formelle de TrueCrypt 7.1 comme prévu, et nous espérons pouvoir publier un rapport final dans quelques mois ». Le même compte annonce par ailleurs qu’un audit d’OpenSSL aura lieu en partenariat avec la Critical Infrastructure Initiative de la Linux Foundation.
Pourquoi continuer un audit ? Parce que techniquement, TrueCrypt pourrait continuer sous une autre forme. Depuis le site SourceForge, on peut en effet toujours récupérer les sources du logiciel. Mais pour qu’une suite puisse réellement survenir, il faudrait d’abord éclaircir le cas de la licence. Les développeurs de TrueCrypt n’ont en effet pas utilisé une licence déjà existante mais ont créé la leur. Bien que les sources soient disponibles, ladite licence n’a jamais été approuvée par l’Open Source Initiative. On peut retrouver d’ailleurs d’anciennes discussions montrant que cette licence pose problème depuis des années, notamment en 2008 pour une éventuelle intégration dans Fedora. Ce qui n'empêche pas l'Open Crypto Audit Project de considérer la possibilité d'un fork.
Une simple décision collégiale sans signe précurseur ?
Mais avant même d’envisager la future et éventuelle vie de TrueCrypt, il reste à savoir si oui ou non l’arrêt du développement est une vraie décision de l’équipe. Ars Technica aborde de son côté les trois plus grandes théories explicatives de l’évènement :
- La conséquence d’une National Security Letter, avec à la clé une situation semblable à celle de Lavabit
- Un piratage très élaboré
- La découverte d’une vulnérabilité nécessitant trop de travail pour être corrigée
L’hypothèse d’un « ras-le-bol général » n’est en outre pas à exclure. Mais dans tous les cas, celle d’un piratage perd graduellement de sa crédibilité au fur et à mesure que le temps passe et qu’aucun développeur ne se manifeste pour en parler.
Commentaires (320)
#1
J’ai vu ça ce matin en croyant à une mise à jour du logiciel, et POF ! ce message incompréhensible ! " />
#2
Factuel, clair et net. " />
À noter que la dernière version fonctionnelle est la 7.1a, et qu’on peut toujours la trouver ici et là, comme sur Clubic.
#3
Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi " /> " />
#4
#5
Mouais, sans personne pour dire quoi que ce soit parmi les dev, la solution “ferme ta gueule et fais une maj de ton appli a notre sauce” venant de la NSA ou d’une instance gouv quelconque est de plus en plus probable…
#6
Ouais, enfin avec TrueCrypt on pouvait stocker des fichiers chiffrés dans le Cloud.
Avec les solutions propriétaires les fichiers sont transmis en clair en espérant que lhébergeur Cloud soit sympa.
#7
A savoir que d’apres un article et les com’ de chez Korben, la version 7.2 en question semble ne plus pouvoir crypter quoi que ce soit, juste lire des volumes deja en place.
Ca pue le paté
#8
#9
#10
Hé bien, je vais conserver ma version de truecrypt dans un coin, ça sera toujours ça de pris.
#11
#12
#13
#14
Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme
Mais y en a aucune qui prend en compte le déni plausible… " />
#15
…ou alors un rachat de la part de MS comme ça été le cas avec sysinternal il y a quelques années. Le scénario était a peu prêt le même. Disparition des outils sans donner une seule explication.
#16
Ou alors, tous les développeurs ont gagné un voyage pour la destination de 6 pieds sous terre " />
#17
#18
#19
#20
#21
#22
#23
#24
#25
PGP Deskpot pour la vie, décrypte moi si tu peux ! " />
TrueCrypt c’est hasbeen depuis belle lurette, décryptage facile par les Gendarmes du net " />
#26
#27
C’est bizarre depuis hier je lis pleins d’hypothèses sur le sujet, des théories qu’on peut soit qualifiée de farfelues soit d’inquiétantes, tout le monde parle sauf les principaux concernés.
Est-ce que Next Impact connait une raison pour ce silence? A t’on essayé de joindre l’équipe? Je ne connais pas le nombre de développeurs derrières TrueCrypt, mais s’ils sont plus qu’une poignée, ça parait compliqué et risqué de vouloir les faire taire tous sous la menace, non?
Bref, comment cela se fait que malgré tout ce buzz, on ait aucune explication des développeurs? Vous avez essayé de les contacter? Silence, refus?
#28
Un gros chèque de la NSA pour chacun des contributeurs pour qu’ils prennent une retraite anticipée et forcée ?
#29
#30
#31
#32
#33
#34
#35
#36
#37
Du coup, les compte de la crypte sont au fond du true.
#38
#39
#40
#41
#42
#43
#44
Pour les pédo-terroristes que ça intéresse, une petite liste faite par Korben d’alternatives à TC.
#45
Je crois que j’ai bien fait de me garder dans un coin TrueCrypt.
Dommage car il était excellent.
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
#61
#62
#63
#64
#65
#66
#67
Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme
Tant que la plateforme est Windows donc " />
Ils doivent avoir leurs raisons, mais de là à dire que la solution Microsoft remplacera la leur… Ca sent l’argumentation avec une odeur de poudre.
Sinon, existe-t-il une véritable alternative, non soumise à un seul OS ? " />
#68
#69
#70
Heureusement que le pare feu Open Office fait aussi office de logiciel de chiffrement " />
#71
#72
#73
#74
#75
#76
#77
#78
#79
#80
#81
A fiortiori, homme, et gardien de la paix avant tout :)
#82
#83
#84
#85
#86
#87
Pour info:
https://www.grc.com/misc/truecrypt/truecrypt.htm
#88
#89
#90
#91
#92
#93
#94
#95
#96
#97
#98
#99
#100
#101
#102
#103
#104
#105
#106
#107
#108
#109
#110
#111
#112
#113
#114
#115
#116
#117
#118
#119
#120
#121
#122
#123
#124
#125
#126
#127
#128
C’est dommage, TC avait l’avantage d’être plutôt complet, et facile à utiliser, et d’être multi-plateforme…
Du coup je cherche encore un logiciel qui fait ça et qui soit fiable… Avoir un dossier crypté lisible à la fois sous windows/mac OS/linux, est-ce si compliqué? :/
#129
#130
#131
#132
#133
#134
#135
#136
#137
#138
#139
J’avais vu ça sur Korben.info!
C’est tout de même étrange de proposer sur le site officiel plus qu’une version de montage de volume…
Et c’est sûr qu’avec les même clés de signature si piratage il y aurait ce serait un piratage élaboré.
#140
#141
#142
Aux dernières nouvelles, l’identité des devs aurait été dévoilée, et donc dégoûtés ils jettent l’éponge en mode “allez tous vous faire foutre”, d’où la référence à bitlocker.
#143
#144
Histoire de faire dériver encore un peu plus le débat ,
Steve Ballmer s’offre les Los Angeles Clippers pour deux milliards de dollars
vous croyez que ça à un rapport avec l’arret brutal de truecrypt ? que Steve Ballmer par cet acte ce pose en bon citoyens ? que les 20 milliard de fortune de Steve Ballmer sont en fait des fonds tout droit venu de la NSA ? que la NSA à payé les Los Angeles Clippers à Steve Ballmer pour le faire taire ? que veut-on nous cacher sur Steve Ballmer ? …..
#145
#146
#147
#148
#149
J’ai du mal à imaginer un ras-le-bol, pourquoi ne pas rediriger vers une alternative open-source et/ou libre ? Pourquoi des devs open-source redirigeraient-ils des utilisateurs vers une solution de cryptographie full microsoft, donc NSA friendly ?
Le piratage serait étonnant également surtout qu’ils ne disent rien, mais plus plausible que le ras-le-bol.
Je pense donc que la raison la plus proche de la vérité est celle de la pression exercées par des organismes gouvernementaux et/ou par des grandes entreprises. Cela expliquerait le silence des devs et la redirection vers une solution de microsoft.
Peut être qu’on en saura plus dans les jours qui suivent.
#150
#151
#152
#153
#154
#155
#156
#157
#158
#159
#160
#161
#162
#163
Sniff " />
#164
#165
#166
#167
#168
#169
En même temps, ça faisait bien longtemps que TrueCrypt avait pas bougé… ça sentait quand même un peu le sapin. Etrange qu’ils arrêtent d’un coup comme ça, par contre…
#170
#171
#172
#173
#174
Une bonne application de plus à mettre au Panthéon " />
#175
#176
#177
#178
#179
#180
#181
#182
#183
#184
#185
#186
#187
#188
#189
#190
#191
#192
#193
#194
#195
#196
#197
#198
#199
#200
#201
#202
#203
#204
#205
#206
#207
#208
#209
#210
#211
#212
#213
#214
#215
#216
#217
#218
#219
#220
#221
Y a encore des gens qui mettent des Nike (en dehors de terrains de sport) ?
#222
#223
#224
#225
#226
#227
#228
#229
#230
#231
#232
#233
#234
#235
#236
#237
#238
#239
#240
#241
#242
#243
#244
#245
#246
#247
#248
#249
#250
#251
#252
#253
#254
#255
#256
#257
#258
#259
#260
#261
#262
#263
#264
#265
#266
#267
Liens intéressants pour les anglophones :
https://www.grc.com/misc/truecrypt/truecrypt.htm
http://www.reddit.com/r/sysadmin/comments/26pxol/truecrypt_is_dead/
En gros, un dev aurait répondu par email qu’il souhaite arrêter la poursuite du projet (“There is no longer interest”) après 10 ans de travail, cette décision aurait été prise plus tôt, et ne voulant pas laisser leur bébé aux mains de la communauté, ils décident de le tuer en fournissant cette v7.2 castrée.
Et forker le projet ne leur plait pas vraiment (“he believes forking’s harmful because only they are really familiar w/code.”) parce qu’ils ne pensent pas que quelqu’un peut comprendre et maintenir le code comme eux ont pu le faire, c’est pourquoi ils retirent les anciennes versions et conseillent de partir ailleurs.
Le fait de dire que Truecrypt n’est plus safe est à entendre dans le sens où il n’y aura plus de correctifs en cas de faille révélée.
Donc la v7.1a serait l’apogée de leur labeur, qu’ils ne souhaitent pas voir dénaturée par d’autres développeurs. Mais l’audit du code de la v7.1a va continuer et il SERA forké sous un autre nom, le code étant trop précieux pour être oublié.
Voilà, c’est la théorie la plus plausible qui semble se dessiner. " />
#268
#269
#270
#271
#272
#273
#274
#275
#276
#277
#278
Cette histoire est assez hallucinante.
De plus je suis dubitatif sur les affirmations de pcinpact concernant bitlocker sur Win Seven Pro.
J’ai cherché assez longtemps avant de découvrir que sous Windows Seven seule l’édition intégrale et entreprise (donc pas la “professionnelle”!) dispose de cette fonctionnalité. Vous pouvez donc corriger votre article ;)
Truecrypt m’était très utile possédant un parc de machines variées: OSX, Windows et Linux, c’est vraiment dommage, il va falloir retrouver une alternative.
Ou bien se contenter des anciennes versions, vu que je l’utilise pour protéger mes donnée personnelles contre le vol et que j’espère que les potentiels voleurs ne seront pas des experts informatiques capable de trouver une faille dans truecrypt pour voir mes photos de vacances :/
#279
Et si un ou plusieurs développeurs étaient des taupes ?
Enfin, bon, toutes les théories peuvent être imaginées… jusqu’aux théories du complot, qui sont dans l’air du temps….
Une chose est certaine. Les causes de l’arrêt du développement d’un programme doivent être assez graves pour que cela soit aussi brutale.
Malheureusement, les développeurs ont toujours voulu rester anonyme. Je ne pense pas que nous en seront plus un jour… D’ailleurs, les développeurs ont-ils assumé le développement de leur programme ? Je me pose la question, car, au contraire, un développeur aime à se faire connaître. C’est pour lui un moyen de démontrer ses compétences. Cette affaire sert également à démontrer que ne pas connaître spécifiquement qui sont les développeurs d’un programme doit inciter à la prudence, quand à son utilisation.
Enfin, il semblerait que TrueCrypt ne soit pas si Open Source qu’il en ait l’air. L’Open Source Initiative n’a jamais approuvé ce logiciel. Au yeux de tous, les développeurs auraient donc fait passer TrueCrypt comme étant OpenSource, alors qu’il n’en est rien…
Bref, j’ai bien l’impression que dans cette affaire qui passionnent le Net, tout le monde ne soit ni tout blanc, ni tout noir.
#280
#281
#282
#283
#284
#285
#286
#287
#288
#289
#290
#291
#292
#293
#294
#295
#296
#297
#298
Les développeurs de TrueCrypt n’ont en effet pas utilisé une licence déjà existante mais ont créé la leur.
Le truc à ne jamais faire.
Il existe déjà suffisamment de licences libres pour ne pas ajouter à la confusion ambiante et (surtout) aux problèmes de compatibilité juridiques.
Choisissez entre les deux grandes licences que sont GPL et BSD en fonction de vos objectifs.
#299
D’ailleurs autres anecdotes venant de connaissances bossant dans le domaine de la crypto.
Les douanes US peuvent fouiller sans raison n’importe quel appareil et en sauvegarder les données pour chercher dedans plus tard.
Évidemment quand il y a un coloque sur la sécurité informatique réunnissant des chercheurs du monde entier ils ne s’en privent pas.
Du coup mieux vaut aller aux US avec un PC tout neuf et vide et récupérer plus tard les données.
En passant la douane canada/US, les douaniers ont demandé à des chercheurs d’allumer leurs ordinateurs pour voir ce qu’il y avait dessus.
En voyant un terminal linux, du texte blanc sur fond noir au lieu d’un écran d’accueil Windows, les douaniers ont pris les cherceurs pour des terroristes (seriously).
Ils ont du s’expliquer un moment avant de pouvoir sortir.
#300
#301
#302
#303
#304
#305
#306
je vois une explication assez simple et plausible, le projet (ex-)topsecret bullrun a encore frappé, projet dévoilé par snowden dont le but est d’arroser les acteurs principaux de l’industrie de la sécurité à coup de centaines de millions pour qu’ils glissent des portes dérobées dans les logiciels de sécurité
http://en.wikipedia.org/wiki/Bullrun_%28decryption_program%29
pour info, microsoft et tous ses produits sont les premiers arrosés donc conseiller bitlocker ou n’importe quel produit ms est plus que suspect, cela trahit clairement leurs intentions à mes yeux
attendons donc un fork patiemment et ne tombez pas dans le panneau de cette version 7.2
#307
#308
Pour moi la meilleure protection si l’on a quelque chose à se reprocher, c’est un PC sans disque dur que l’on utilise avec un livecd et tout en RAM (enfin si on veut vraiment être secure)
#309
#310
#311
#312
#313
#314
#315
#316
#317
#318
#319
#320