L’arrêt brutal de TrueCrypt a laissé place à de nombreuses théories. Ce qui n’empêche pas plusieurs développeurs de vouloir constituer une nouvelle équipe autour du projet et d’envisager un fork, c’est-à-dire une version dérivée.
Un nouveau site pour rassembler les efforts
Lorsque le site officiel de TrueCrypt a annoncé tout à coup la fin du développement de cette solution de chiffrement, beaucoup se sont perdus en analyses pour essayer de comprendre ce qui avait poussé les auteurs à une telle décision, si toutefois elle venait bien d’eux. Aucun ne s’est exprimé sur la question, ce qui laisse penser qu’il ne s’agit pas d’une attaque. Mais quelle qu’en soit la raison, cet arrêt n’a pas sapé la motivation de certains à vouloir que TrueCrypt continue de vivre.
Un nouveau site ouvert en Suisse, TrueCrypt.ch, se propose donc de réunir toutes les bonnes volontés autour d’une ligne directrice très simple : ne pas laisser mourir le logiciel. L’initiative est portée par Thomas Bruderer et Joseph Doekbrijder, qui veulent fédérer les efforts, aussi bien sur le plan technique que juridique. Car la licence de TrueCrypt n’est pas reconnue officiellement par l’Open Source Initiative et pourrait donc créer des problèmes.
Reprendre le développement là où il s'est arrêté
Mais de quelle manière exactement ? L’idée développée par Bruderer et Doekbrijder est celle d’un éventuel fork, c’est-à-dire une version dérivée de l’actuelle. Le code source, disponible sur le dépôt GitHub, serait donc repris et une nouvelle branche de développement serait créée pour faire évoluer TrueCrypt. Mais rien n’est encore décidé car les auteurs de ce projet attendant d’une part que des développeurs se manifestent, et d’autre part que l’audit de sécurité en cours se termine. En effet, comme nous le précisions la semaine dernière, il sera terminé en dépit de l’apparent abandon du logiciel.
Sur leur site, Bruderer et Doekbrijder expliquent : « Ce qui est arrivé est actuellement très trouble. Est-ce réellement la fin d’un effort de 10 ans ou était-ce l’action d’un gouvernement quelconque ? Même si un simple défacement est de moins en moins probable, nous ne savons toujours pas ce qui s’est passé. Cependant, les dernières 36 heures ont clairement montré que TrueCrypt est un produit fragile qui doit être basé sur un socle plus solide ». Pour l’instant, l’installeur est donc proposé en l’état, mais l’objectif est réellement de reprendre le développement là où il s’est arrêté.
Une initiative qui dans tous les cas rejoint la vision du chercheur en sécurité Steve Gibson. Dans un billet sur son blog, il explique que les développeurs de TrueCrypt ont apparemment choisi de stopper eux-mêmes leur création. Cependant, « ce n’est pas la manière dont Internet fonctionne ». Car « avoir créé quelque chose d’une telle valeur » change la donne selon lui : « Ils ne peuvent pas, à juste titre, le reprendre désormais ». Et de conclure : « Ils en ont peut-être fini avec lui, mais pas le reste d’entre nous ».
L'ANSSI recommande d'appliquer le principe de précaution
C’est dans ce contexte trouble que l’ANSSI (Agence nationale de la sécurité des systèmes d'information) revient sur l’arrêt du développement de TrueCrypt et précise que rien ne permet de dire actuellement ce qui s’est vraiment passé. Elle rappelle cependant que la dernière version 7.1a était certifiée de premier niveau et cette mouture correspond donc toujours aux caractéristiques de sécurité attendues.
Cependant, l’ANSSI note que l’arrêt du support est dans tous les cas un problème. Aussi, elle applique le principe de précaution et recommande de migrer « vers des produits qualifiés ou en cours de qualification offrant des fonctions semblables : Cryhod, Zed !, ZoneCentral, Security Box et StormShield ».
