TrueCrypt est un logiciel connu servant à chiffrer intégralement le contenu d’un disque dur ou d’un périphérique de stockage. Gratuit et open source, il fait l’objet d’un audit en deux parties, dont la première vient de révéler ses résultats : TrueCrypt ne contient aucune porte dérobée, mais plusieurs failles de sécurité ont bien été détectées.
Pas de porte dérobée
En octobre dernier, une demande répétée d’un audit de sécurité complet dans la solution TrueCrypt avait mené à une campagne d’appel aux dons afin de financer l’opération. Plus de 48 000 dollars avaient ainsi été récupérés, dont 10 000 obtenus sur le don unique réalisé par la société Ionic Security. Après plusieurs mois de discussions et de mise en place, la première partie de cet audit conséquent vient de livrer ses premiers résultats.
Réunis dans un document d’une trentaine de pages, ils sont globalement positifs. TrueCrypt a ainsi vu son code analysé de fond en comble et la société iSec, chargée de l’étude, indique ainsi que le logiciel ne contient aucune porte dérobée. Si cette « trouvaille » semble tomber sous le sens, il faut savoir que la solution est particulièrement utilisée et que le contexte général de la sécurité a particulièrement changé depuis les premières révélations d’Edward Snowden sur les activités de la NSA.
Des failles à colmater et des problèmes à régler
Pour autant, même si iSec n’a mis la main sur aucun code volontairement malveillant, elle a quand même révélé une série de failles de sécurité et indiqué que plusieurs aspects devraient être améliorés. Parmi les brèches, aucune n’est de rang « critique » mais quatre sont quand même classées dans la catégorie « moyenne ».
Il faut savoir en outre que durant cette première partie de l’audit, seule la version Windows du logiciel a été examinée, étant de loin la plus utilisée. Or, dans le code source, iSec a détecté plusieurs éléments problématiques. D’une part, un manque de commentaires qui perturbent la lecture dudit code. D’autre part, l’utilisation de fonctions devenues obsolètes dans Windows ou qui sont reconnues comme non sécurisées. Enfin, l’utilisation de types de variables incohérents. Plusieurs autres problèmes de cet acabit ont été pointés, mais iSec tient à mettre en avant la qualité de la documentation fournie par le site officiel.
Matthew D. Green, professeur de cryptographie à l’université Johns Hopkins, a indiqué à Ars Technica que les résultats n’étaient en fait pas réellement surprenants : « Je pense que la qualité du code n’est pas aussi bonne qu’elle devrait être, mais d’un autre côté, il n’y a rien d’horrible non plus, c’est donc rassurant ». Il indique d’ailleurs que la deuxième phase de l’audit se penchera plus spécifiquement sur le chiffrement lui-même des données.