Mounir Idrassi (VeraCrypt) : « Les portes dérobées qui n'acceptent qu'une personne n'existent pas »

Mounir Idrassi (VeraCrypt) : « Les portes dérobées qui n’acceptent qu’une personne n’existent pas »

Les contes de VeraCrypt

Avatar de l'auteur
Guénaël Pépin

Publié dans

Logiciel

18/08/2016 9 minutes
21

Mounir Idrassi (VeraCrypt) : « Les portes dérobées qui n'acceptent qu'une personne n'existent pas »

Pour le principal développeur de l'outil de sécurité VeraCrypt, le chiffrement fort doit être protégé et financé. Pour nous, il revient sur la conception de son successeur à TrueCrypt, les difficultés de construire une communauté et les évolutions du logiciel à venir.

Six mois après la dernière version, c'est aujourd'hui qu'est sorti VeraCrypt 1.18. Comme nous l'expliquions, l'outil de chiffrement de disque supporte désormais les ordinateurs avec UEFI, ajoute des algorithmes et corrige quelques failles importantes. Une version majeure, qui est d'ores et déjà auditée par les Français de QuarksLab pour confirmer sa fiabilité.

Il s'agit de deux pas importants pour le logiciel, successeur affiché de TrueCrypt et développé par le français Mounir Idrassi depuis la mi-2013. La prochaine grande étape est d'amener le logiciel vers les entreprises et les cartes à puce. D'un côté, ce mouvement doit permettre à Idrassi de consacrer plus de temps au logiciel, développé jusqu'ici sur son temps libre. De l'autre, il doit lui permettre de le lier à son expertise historique, les cartes à puces, développée à l'époque où il travaillait chez Oberthur Cards Systems, de 2000 à 2006, après ses études à Polytechnique.

Il a depuis fondé sa société Idrix, spécialisée dans la sécurité, via laquelle il s'est penché sur TrueCrypt. « Je m'y suis vraiment intéressé en 2012, quand un client m'a demandé de le regarder plus près. C'est là que j'ai eu la possibilité d'analyser le code et de m'intéresser au chiffrement » nous explique le développeur, qui décrit son implication sur VeraCrypt comme un long apprentissage.

Dans l'immédiat, le principal enjeu est de construire une communauté de développeurs autour du logiciel. Les volontaires sont rares, et ceux capables de travailler sur un outil aussi complexe d'autant plus. Il doit ainsi trouver des partenaires capables de l'accompagner dans l'évolution du logiciel vers un modèle plus professionnel, alors que des politiques affichent ouvertement leur hostilité face au chiffrement fort.

De la fin de TrueCrypt à l'explosion de VeraCrypt

En 2013, après un audit « minimaliste » de TrueCrypt, Mounir Idrassi remarque des faiblesses dans sa conception et décide de les combler. Il veut aussi promouvoir un développement ouvert, en opposition à celui de l'original, très opaque. VeraCrypt est né. Un an plus tard, à la mi-2014, quand l'équipe l'originale arrête brutalement le développement, son fork gagne soudain en importance, à la fois pour les internautes et son développeur.

« Mon implication est devenue beaucoup plus profonde, j'ai passé beaucoup plus de temps dessus. Il y avait beaucoup plus de retours. Le projet est devenu bien plus sérieux, avec une feuille de route plus claire, des fonctions de plus en plus développées et la correction des failles découvertes dans TrueCrypt au fil des audits » se remémore Mounir Idrassi.

La disparition de TrueCrypt avait été un choc à l'époque. Le site officiel recommandait de ne plus utiliser le logiciel, et de se tourner vers Bitlocker de Microsoft. Un événement improbable pour un logiciel open source de cette envergure. « Quand j'ai vu ce message, je l'ai pris comme ironique. Pour moi, les développeurs nous disaient de prendre notre destin en main, sur la base qu'ils ont laissée. Cela m'a encouragé dans le fait de reprendre la flamme et de continuer » affirme le père de VeraCrypt. 

Les mystères éclaircis de TrueCrypt

Depuis, il s'est avéré que le FBI a eu un rôle important dans cette fin, ayant sûrement modifié le site à sa fermeture. En parallèle, le nom du trafiquant de drogue Paul Le Roux, versé dans le développement, a été largement associé à E4M (Encryption For The Masses) et TrueCrypt. Ce dernier aurait d'abord été développé pour protéger les activités de ses initiateurs.

« L'histoire de Paul Le Roux explique beaucoup de choses. Le code source de TrueCrypt était énorme. La quantité de travail demandée pour produire un logiciel d'une telle stabilité, sur plusieurs plateformes, ne correspondait pas à un projet open source standard. C'était professionnel » estime Mounir Idrassi, qui voyait les signes d'un travail similaire à celui d'une entreprise, avec plusieurs concepteurs. « Il y avait l'argent et la motivation de cacher des données » poursuit-il.

« La base de TrueCrypt est impossible à réécrire. Pour écrire de zéro un logiciel avec la même stabilité, je pense qu'il faut au moins deux millions d'euros » conclut-il. Si VeraCrypt a corrigé les failles connues du logiciel, son développeur affirme que produire de zéro un équivalent serait impossible actuellement.

Un projet personnel chronophage, des soutiens peu nombreux

Actuellement, le développement de l'outil occupe en moyenne dix heures par semaine pour Mounir Idrassi. Un projet personnel important, qui réserve ses surprises. Le lancement de la version 1.18 censé intervenir le week-end dernier a été finalement repoussé à ce mercredi, la correction des derniers problèmes demandant du temps. L'opération est coûteuse en temps, notamment sur le support, le développeur recevant des centaines de messages par semaine.

S'il reçoit aussi des dons, ils pourraient à peine couvrir une journée de travail par mois, estime-t-il. Il rit d'ailleurs (un peu) jaune lorsque nous évoquons le précédent OpenSSL, utilisé par une grande part des entreprises du numérique, mais peu maintenu car peu financé. La perspective d'arrêter un jour VeraCrypt ne l'inquiète pas outre-mesure, le code étant ouvert à tous. Ainsi, même s'il venait à décider de passer à autre chose, d'autres pourraient prendre sa suite, comme il l'a fait avec TrueCrypt.

VeraCrypt

La possibilité d'un financement participatif existe bien pour VeraCrypt, mais elle n'est pas encore privilégiée. L'enjeu concret est plutôt de trouver des développeurs à même de le soutenir dans son travail. Si certains interviennent parfois pour des soucis mineurs sur Linux ou macOS, il est « compliqué » d'obtenir un soutien constant. En témoigne l'historique des commits sur Codeplex.

Pour Idrassi, le soutien du développeur russe Alex Kolotnikov sur le cryptage chiffrement UEFI, qui l'a mobilisé plusieurs mois, est la première contribution importante au projet par un tiers, le reste étant plutôt « dérisoire ». Précédemment, Idrassi a bloqué plus d'un an sur des problématiques techniques liés à UEFI et Windows, qu'il ne pouvait dépasser seul. « C'est le seul [soutien] avec un profil professionnel et sur Windows. Il y a un manque flagrant d'experts techniques Windows qui puissent aider le projet. C'est là où est la demande » ajoute-t-il.

La version 1.18, avec des algorithmes de chiffrement venus du Japon et de la Russie, ainsi que son audit, devraient amener plus de développeurs, espère-t-il. La confiance est un élément central de son discours, avec l'idée qu'il faut montrer que le projet est développé en France, avec une portée mondiale. 

Le débat politique ne doit pas affaiblir le chiffrement

Malgré son implication dans le chiffrement, Idrassi affirme prêter peu d'importance aux débats politiques actuels sur la question. Celui qui se voit « comme un fabricant de serrures » se pose peu de questions sur l'usage final de son outil. « Il y aura toujours quelqu'un pour détourner les technologies à des fins non-pacifiques ou criminelles, alors que 99 % l'utilisent avec de bonnes intentions. C'est un besoin universel » estime-t-il.

Surtout, il bat en brèche les demandes du gouvernement d'introduire des portes dérobées dans de tel outils. Pour le développeur, affaiblir le chiffrement aurait des conséquences économiques directes et décrire les backdoors comme une solution viable pour une meilleure sécurité serait simplement un non-sens :

« Dès que l'on introduit une porte dérobée pour un gouvernement, on se rend compte que d'autres la trouvent. Il faut comprendre que les attaques sont devenues d'une intelligence incroyable. Il y a des outils d'analyse dynamique des données du système, qui peuvent détecter ce type d'élément précis. On ne peut pas cacher de porte, de clé secrète. Les systèmes qui n'acceptent magiquement qu'une personne n'existent pas. »

Comme l'ANSSI, l'agence en charge de la sécurité informatique de l'État, il plaide pour une meilleure utilisation des moyens d'investigation numérique. Les deux affirment que toucher au chiffrement serait une grande erreur. « Il ne protège pas quand on mène des activités illégales. On laisse toujours des traces, via les métadonnées. Développer une technologie pour gérer les métadonnées sera plus bénéfique que de détruire les bases du chiffrement » affirme Mounir Idrassi.

Donner un nouvel élan à VeraCrypt

Malgré le contexte, le développeur semble aujourd'hui prêt à explorer une autre piste pour assurer l'avenir de l'outil : professionnaliser son activité. S'il travaille majoritairement pour les clients de sa société Idrix actuellement, mêler son activité à VeraCrypt est une possibilité concrète. Le biais : l'intégration du support des cartes à puces et de fonctions pour entreprises dans le logiciel. Selon le développeur, la demande est d'ores et déjà forte pour une telle solution, surtout en open source, avec un support dédié.

L'usage des cartes à puce pour contrôler l'accès physique aux PC en entreprise est répandu. VeraCrypt est même utilisable via des interfaces (PKCS 11) avec ces objets, mais la méthode est loin d'être satisfaisante, estime le développeur. Pour les sociétés, l'intérêt serait surtout de disposer d'une solution au code ouvert, alors que les logiciels de chiffrement de disque commerciaux (comme Bitlocker de Microsoft) sont certes fonctionnels, mais opaques.

Il travaille déjà avec d'autres sociétés pour faire évoluer le logiciel dans ce sens. Pour lui, la France « a un rôle à jouer » sur la scène mondiale de la sécurité, y compris via ses géants de la carte à puce. « Il faut penser au moment où le logiciel sera encore plus utilisé, j'ai déjà des demandes d'entreprises qui veulent intégrer VeraCrypt mais ont besoin de support, de services commerciaux... Le problème est de trouver des personnes et partenaires qui puissent aider à la transition, tout en préservant la nature ouverte du projet » anticipe le développeur.

Reste maintenant à passer ce cap. Les mois à venir seront sans doute décisifs pour VeraCrypt et son développeur, et la position de la France en la matière aura sans doute une influence, au moins indirecte. De quel côté nous situerons-nous ? De celui de ceux qui veulent disposer d'outils de chiffrement forts pour assurer la sécurité des données de chacun – et notamment des entreprises – ou de celui qui préfèrent chercher à affaiblir tout un écosystème ? La question est posée.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De la fin de TrueCrypt à l'explosion de VeraCrypt

Les mystères éclaircis de TrueCrypt

Un projet personnel chronophage, des soutiens peu nombreux

Le débat politique ne doit pas affaiblir le chiffrement

Donner un nouvel élan à VeraCrypt

Commentaires (21)




De quel côté nous situerons-nous ? De celui de ceux qui veulent disposer d’outils de chiffrement forts pour assurer la sécurité des données de chacun – et notamment des entreprises – ou de celui qui préfèrent chercher à affaiblir tout un écosystème ? La question est posée.





très bon article, et très bonne question.

si l’on se base sur les différentes interventions politiques à ce sujet, malheureusement, il y a peu d’espoir.



je poste ici un lien vers un podcast récent de NolimitSecu où ils interviewent Idrassi. c’est très intéressant.


Merci pour cet article très intéressant. :)



On en apprend plus sur le projet veraCrypt et pour ceux qui avaient zappé la raison de la fermeture de truecrypt on a enfin une cause probable.


+1,



en tout cas bon courage à lui …


J’allais évoquer le podcast très intéressant de NoLimiteSécu, mais pris de vitesse :)


Super article, merci. Qui vivra vera




La confiance est un élément central de son discours, avec l’idée qu’il

faut montrer que le projet est développé en France, avec une portée

mondiale.





Lol.

La fin de l’article prouve bien une chose, il y a plein d’endroits pour faire évoluer le projet, mais certainement pas en France.


Je relis l’article et je tique sur une phrase que j’avais loupée :





Depuis, il s’est avéré que le FBI a eu un rôle important dans cette fin, ayant sûrement modifié le site à sa fermeture.





Ca signifie quoi “modifié le site” ? Les versions de Truecrypt qu’on pouvait y télécharger sont FBI-NSA compliant ? On parle de la dernière version en date (la 7.2), ou pour d’autres aussi ? De mémoire au moment de l’arrêt de TC, la dernière était la 7.1a, serait-elle également touchée ?



&nbsp;<img data-src=" />


Tel que modifié (par les développeurs ou le FBI), le site ne renvoyait plus vers TrueCrypt justement, mais recommandait Bitlocker.


Article très intéressant. Merci et bon courage à Mounir Idrassi.



PS: petit don fait également pour le projet ;)


La 7.1a (à condition de la télécharger ici:https://truecrypt.ch/downloads/ ) n’a pas été “modifiée” par le FBI puisque la signature correspond toujours à ce qu’elle était bien avant toute cette histoire de fermeture mystérieuse (ou pas si mystérieuse que ça ^^).

Par contre la 7.2 perso je n’y toucherais pas même avec des gants. <img data-src=" />



J’ai encore un peu d’hésitation à passer de TrueCrypt à VeraCrypt mais le projet a l’air sérieux quand même, et il commence à avoir apporté des choses intéressantes par rapport à la 7.1a qui date maintenant pas mal. Donc petit don pour le projet également !



Idée pour ceux qui utilisent uniquement les conteneurs (et pas le chiffrement du disque): mettre un conteneur TrueCrypt, dans un conteneur VeraCrypt.


Je ne comprends pas bien cette croisade politique contre le codage des communications, la NSA qui fait de l’espionnage politique et industriel sous couvert antiterrorisme n’a pas suffit de les convaincre qu’on est les dindon de la farce dans cette histoire ?


C’est justement pour cette raison.

La France a découvert le potentiel bcp trop tard, et est déçue que du coup, les portes se ferment avant de pouvoir aussi en profiter.



Collatéralement, c’est porte ouverte en France pour tous les autres plus avancés.



Le chiffrement en France c’est Maginot 2.0


Paul le Roux était donc secrètement un développeur! Quel brigand! <img data-src=" />








neo13006 a écrit :



La 7.1a (à condition de la télécharger ici:https://truecrypt.ch/downloads/ ) n’a pas été “modifiée” par le FBI puisque la signature correspond toujours à ce qu’elle était bien avant toute cette histoire de fermeture mystérieuse (ou pas si mystérieuse que ça ^^).

Par contre la 7.2 perso je n’y toucherais pas même avec des gants. <img data-src=" />



J’ai encore un peu d’hésitation à passer de TrueCrypt à VeraCrypt mais le projet a l’air sérieux quand même, et il commence à avoir apporté des choses intéressantes par rapport à la 7.1a qui date maintenant pas mal. Donc petit don pour le projet également !



Idée pour ceux qui utilisent uniquement les conteneurs (et pas le chiffrement du disque): mettre un conteneur TrueCrypt, dans un conteneur VeraCrypt.





De que j’ai eu comme info délivrée par notre DSI, double audit sur la version citée par neo13006, RAS. Elle est clean.

Quand à la 7.2, “même pas avec des gants” lol, +1



Il va au devant d’emmerde quand même.



Si les gouvernements haussent le ton sur le cryptage c’est surtout que cela permet de monter des structures (notamment financières) qu’ils ne pourraient intercepter ou paralyser. Donc c’est une concurrence directe… donc voila



&nbsp;


Il y a toujours un délai d’une minute à chaque saisie de mot de passe au boot ? C’est infernal…. mais il parait que c’est normal et que cela ne sera jamais résolu.


Bravo, c’est le genre d’article qui ne me font pas regretter mon abonnement.








neo13006 a écrit :



Idée pour ceux qui utilisent uniquement les conteneurs (et pas le chiffrement du disque): mettre un conteneur TrueCrypt, dans un conteneur VeraCrypt.





Perso je mets des fichiers chiffrés avec Ccrypt dans mon conteneur TC <img data-src=" />

Je ne sais pas pourquoi, je n’ai pas entièrement confiance en VC. La lecture de cet article ne m’a pas changé cette sensation… Si cela se professionnalise, cela va attirer des envieux qui voudront (pourront ?) introduire des backdoors pour continuer l’espionnage, alors que sur un projet perso, c’est plus difficile de le faire. C’est peut-être juste un sentiment paranoïaque à force de lire toutes ces actus d’espionnage et de pains dans la gueule de la vie privée…



A nous le développement de nos produits! C’est mieux mais plus compliqué et plus lent. Néanmoins, pourquoi pas?

&nbsp;








Jarodd a écrit :



Perso je mets des fichiers chiffrés avec Ccrypt dans mon conteneur TC <img data-src=" />

Je ne sais pas pourquoi, je n’ai pas entièrement confiance en VC. La lecture de cet article ne m’a pas changé cette sensation… Si cela se professionnalise, cela va attirer des envieux qui voudront (pourront ?) introduire des backdoors pour continuer l’espionnage, alors que sur un projet perso, c’est plus difficile de le faire. C’est peut-être juste un sentiment paranoïaque à force de lire toutes ces actus d’espionnage et de pains dans la gueule de la vie privée…





Le gars pars en vacances, hélas à un accident de voiture et se meurt, le projet aussi, ou du moins est très fortement ralenti avant une éventuelle reprise par un tiers.



Les projets qui se professionnalisent ont quand même quelques avantages, notamment de faire vivre les dev.



Je n’ai pas dit qu’il n’y avait aucun avantage. Juste qu’il y a des inconvénients qui m’empêchent de sauter le pas, si cette direction se confirme.