Depuis mercredi soir, le site officiel du logiciel de chiffrement TrueCrypt indique que le développement est désormais terminé. Il n’y a désormais plus qu’une page pour expliquer aux utilisateurs sous Windows comment activer BitLocker, la solution de chiffrement intégral que Microsoft propose avec certaines éditions des derniers Windows.
Le site officiel conseille d'utiliser BitLocker de Microsoft
Que se passe-t-il avec TrueCrypt ? Alors que cette célèbre solution de chiffrement était en cours d’audit et que les résultats étaient d’ailleurs moins mauvais qu'escomptés, le site officiel annonce tout à coup l’arrêt complet des travaux :
« Le développement de TrueCrypt a été stoppé en mai 2014 après que Microsoft a arrêté le support de Windows XP. Windows 8/7/Vista et les versions suivantes offrent un support intégré du chiffrement des disques et des images virtuelles. Un tel support est également disponible sur d’autres plateformes. Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme ».
S’ensuit alors un véritable guide explicatif sur la manière de chiffrer intégralement le contenu du disque dur en utilisant BitLocker de Microsoft sur Vista, Windows 7 et Windows 8. Mais ce que la page ne dit pas, c’est que toutes les éditions de Windows n’intègrent pas BitLocker : il faut posséder une version Professionnelle ou Intégrale.
Pourquoi un arrêt aussi brutal ?
Mais la vraie question qui se cache derrière ce brusque changement est : pourquoi ? Si l’on descend en bas de la page web, on trouve un lien vers une nouvelle version de TrueCrypt, estampillée 7.2. Pour autant, elle ne semble intégrer aucune nouveauté, mais son installeur présente le même texte d’avertissement que le site officiel. Plus grave, sous Windows 8.1, l’exécutable fait apparaître l’avertissement SmartScreen d’un potentiel comportement dangereux, comme a pu le constater The Register. Sur des versions plus anciennes de Windows, le logiciel refuse tout bonnement de chiffrer quoi que ce soit.
Il se pourrait en fait que le site ait tout simplement été piraté, mais les avis à ce sujet diffèrent très largement. L’expert en sécurité Brian Krebs explique sur son blog que plusieurs signes tendent à montrer que l’arrêt semble authentique. Par exemple, les enregistrements DNS et WHOIS ne montrent aucun changement particulier. Par ailleurs, la clé utilisée pour signer la version 7.2 est strictement la même que celle employée en janvier dernier. Même son de cloche pour le chercheur en cryptographie Matthew Green qui, bien qu’étant un détracteur de TrueCrypt, regrette que les développeurs aient arrêté l’aventure de manière si brutale.
L'audit de sécurité continuera
Mais alors qu’en est-il de l’audit démarré sur la base d’un financement participatif qui, avec ses plus de 70 000 dollars, avait largement dépassé son objectif ? Il va continuer. Kenn White, l’un des auteurs du projet d’audit dans un premier temps a indiqué qu’il n’avait aucune raison pour expliquer un tel revirement de la part des développeurs. Cependant, comme on peut le voir sur le compte Twitter officiel du projet, (@OpenCryptoAudit), l’audit va se poursuivre : « Nous continuerons avec la cryptanalyse formelle de TrueCrypt 7.1 comme prévu, et nous espérons pouvoir publier un rapport final dans quelques mois ». Le même compte annonce par ailleurs qu’un audit d’OpenSSL aura lieu en partenariat avec la Critical Infrastructure Initiative de la Linux Foundation.
Pourquoi continuer un audit ? Parce que techniquement, TrueCrypt pourrait continuer sous une autre forme. Depuis le site SourceForge, on peut en effet toujours récupérer les sources du logiciel. Mais pour qu’une suite puisse réellement survenir, il faudrait d’abord éclaircir le cas de la licence. Les développeurs de TrueCrypt n’ont en effet pas utilisé une licence déjà existante mais ont créé la leur. Bien que les sources soient disponibles, ladite licence n’a jamais été approuvée par l’Open Source Initiative. On peut retrouver d’ailleurs d’anciennes discussions montrant que cette licence pose problème depuis des années, notamment en 2008 pour une éventuelle intégration dans Fedora. Ce qui n'empêche pas l'Open Crypto Audit Project de considérer la possibilité d'un fork.
Une simple décision collégiale sans signe précurseur ?
Mais avant même d’envisager la future et éventuelle vie de TrueCrypt, il reste à savoir si oui ou non l’arrêt du développement est une vraie décision de l’équipe. Ars Technica aborde de son côté les trois plus grandes théories explicatives de l’évènement :
- La conséquence d’une National Security Letter, avec à la clé une situation semblable à celle de Lavabit
- Un piratage très élaboré
- La découverte d’une vulnérabilité nécessitant trop de travail pour être corrigée
L’hypothèse d’un « ras-le-bol général » n’est en outre pas à exclure. Mais dans tous les cas, celle d’un piratage perd graduellement de sa crédibilité au fur et à mesure que le temps passe et qu’aucun développeur ne se manifeste pour en parler.