TrueCrypt pourrait revivre en Suisse avec un fork

TrueCrypt pourrait revivre en Suisse avec un fork

Si de bonnes volontés se manifestent

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

03/06/2014 4 minutes
54

TrueCrypt pourrait revivre en Suisse avec un fork

L’arrêt brutal de TrueCrypt a laissé place à de nombreuses théories. Ce qui n’empêche pas plusieurs développeurs de vouloir constituer une nouvelle équipe autour du projet et d’envisager un fork, c’est-à-dire une version dérivée.

truecrypt

Un nouveau site pour rassembler les efforts 

Lorsque le site officiel de TrueCrypt a annoncé tout à coup la fin du développement de cette solution de chiffrement, beaucoup se sont perdus en analyses pour essayer de comprendre ce qui avait poussé les auteurs à une telle décision, si toutefois elle venait bien d’eux. Aucun ne s’est exprimé sur la question, ce qui laisse penser qu’il ne s’agit pas d’une attaque. Mais quelle qu’en soit la raison, cet arrêt n’a pas sapé la motivation de certains à vouloir que TrueCrypt continue de vivre.

 

Un nouveau site ouvert en Suisse, TrueCrypt.ch, se propose donc de réunir toutes les bonnes volontés autour d’une ligne directrice très simple : ne pas laisser mourir le logiciel. L’initiative est portée par Thomas Bruderer et Joseph Doekbrijder, qui veulent fédérer les efforts, aussi bien sur le plan technique que juridique. Car la licence de TrueCrypt n’est pas reconnue officiellement par l’Open Source Initiative et pourrait donc créer des problèmes.

Reprendre le développement là où il s'est arrêté 

Mais de quelle manière exactement ? L’idée développée par Bruderer et Doekbrijder est celle d’un éventuel fork, c’est-à-dire une version dérivée de l’actuelle. Le code source, disponible sur le dépôt GitHub, serait donc repris et une nouvelle branche de développement serait créée pour faire évoluer TrueCrypt. Mais rien n’est encore décidé car les auteurs de ce projet attendant d’une part que des développeurs se manifestent, et d’autre part que l’audit de sécurité en cours se termine. En effet, comme nous le précisions la semaine dernière, il sera terminé en dépit de l’apparent abandon du logiciel.

 

Sur leur site, Bruderer et Doekbrijder expliquent : « Ce qui est arrivé est actuellement très trouble. Est-ce réellement la fin d’un effort de 10 ans ou était-ce l’action d’un gouvernement quelconque ? Même si un simple défacement est de moins en moins probable, nous ne savons toujours pas ce qui s’est passé. Cependant, les dernières 36 heures ont clairement montré que TrueCrypt est un produit fragile qui doit être basé sur un socle plus solide ». Pour l’instant, l’installeur est donc proposé en l’état, mais l’objectif est réellement de reprendre le développement là où il s’est arrêté.

 

Une initiative qui dans tous les cas rejoint la vision du chercheur en sécurité Steve Gibson. Dans un billet sur son blog, il explique que les développeurs de TrueCrypt ont apparemment choisi de stopper eux-mêmes leur création. Cependant, « ce n’est pas la manière dont Internet fonctionne ». Car « avoir créé quelque chose d’une telle valeur » change la donne selon lui : « Ils ne peuvent pas, à juste titre, le reprendre désormais ». Et de conclure : « Ils en ont peut-être fini avec lui, mais pas le reste d’entre nous ».

L'ANSSI recommande d'appliquer le principe de précaution 

C’est dans ce contexte trouble que l’ANSSI (Agence nationale de la sécurité des systèmes d'information) revient sur l’arrêt du développement de TrueCrypt et précise que rien ne permet de dire actuellement ce qui s’est vraiment passé. Elle rappelle cependant que la dernière version 7.1a était certifiée de premier niveau et cette mouture correspond donc toujours aux caractéristiques de sécurité attendues.

 

Cependant, l’ANSSI note que l’arrêt du support est dans tous les cas un problème. Aussi, elle applique le principe de précaution et recommande de migrer « vers des produits qualifiés ou en cours de qualification offrant des fonctions semblables : Cryhod, Zed !, ZoneCentral, Security Box et StormShield ».

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un nouveau site pour rassembler les efforts 

Reprendre le développement là où il s'est arrêté 

L'ANSSI recommande d'appliquer le principe de précaution 

Fermer

Commentaires (54)


loulnux
Le 03/06/2014 à 13h 44

Avec cryptage sous compte numéroté?


Jarodd Abonné
Le 03/06/2014 à 14h 10



Aucun ne s’est exprimé sur la question, ce qui laisse penser qu’il ne s’agit pas d’une attaque qu’il s’agit bien d’une affaire avec la NSA avec le conseil de bien se taire si on ne veut pas saigner du nez.





Perso c’est ainsi que je comprends ce silence. Tant mieux si d’autres reprennent le flambeau, en espérant qu’ils ne tiennent pas trop à leurs genoux.


Sont cons à la nsa ou cia ou autres …



Ils auraient fait une comm aux auteurs de truecrypt style “ils arrêtent” ou “blah blah” même si cela ferait chier pas mal de monde.

Cela serait passer comme une lettre à la poste et personne n’aurait soupçonné (à tord ou à raison) la nsa…



Après ils st’étonnent que tout le monde veut leur diminuer le budget …


Ski-lleR
Le 03/06/2014 à 14h 19

Sinon accessoirement il y a DiskCryptor, qui est open source ;


Khalev
Le 03/06/2014 à 14h 21







Ski-lleR a écrit :



Sinon accessoirement il y a DiskCryptor, qui est open source ;





Il y a CryptoLocker qui est sympa aussi <img data-src=" />



eXa
Le 03/06/2014 à 14h 21







Papa Panda a écrit :



Sont cons à la nsa ou cia ou autres …



Ils auraient fait une comm aux auteurs de truecrypt style “ils arrêtent” ou “blah blah” même si cela ferait chier pas mal de monde.

Cela serait passer comme une lettre à la poste et personne n’aurait soupçonné (à tord ou à raison) la nsa…



Après ils st’étonnent que tout le monde veut leur diminuer le budget …







Ils y en a plusieurs, mais la théorie est que la nsa/cia etc.. n’arrivant jamais a décrypter le truecrypt on fait pression sur les développeurs ce serait donc un gage de sécurité









eXa a écrit :



Ils y en a plusieurs, mais la théorie est que la nsa/cia etc.. n’arrivant jamais a décrypter le truecrypt on fait pression sur les développeurs ce serait donc un gage de sécurité





Oui surtout que ,pour raison terrorisme, ils peuvent les garder plusieurs jours sans avocat donc ,cela pourrait être une explication de la non communication des auteurs de truecrypt…



tAran
Le 03/06/2014 à 14h 56

Quand je pense qu’il y a des théories qui disent que Sabu serait derrière TrueCrypt #Yolo <img data-src=" />


Romaindu83
Le 03/06/2014 à 15h 10

La théorie du complot n’élève pas le niveau intellectuel du débat….<img data-src=" /> Remarque, quand on ne trouve plus trop d’argument, il n’y a guère de solution : soit c’est le point Godwin, soit c’est la théorie du complot.



La théorie du chaos n’a pas encore été mis en avant. C’est bizarre…..<img data-src=" />


CryoGen
Le 03/06/2014 à 15h 11







Romaindu83 a écrit :



La théorie du chaos n’a pas encore été mis en avant. C’est bizarre…..<img data-src=" />







Le chiffrage trouve toujours un chemin ? <img data-src=" />



zer
Le 03/06/2014 à 15h 20







eXa a écrit :



Ils y en a plusieurs, mais la théorie est que la nsa/cia etc.. n’arrivant jamais a décrypter le truecrypt on fait pression sur les développeurs ce serait donc un gage de sécurité







Ah ces conspirationnistes.. quelle imagination :)



Attendons un retour d’un des devs, ça finira bien par arriver, avant de tirer des conclusions alarmistes ;)



tass_
Le 03/06/2014 à 15h 23







zer a écrit :



Ah ces conspirationnistes.. quelle imagination :)



Attendons un retour d’un des devs, ça finira bien par arriver, avant de tirer des conclusions alarmistes ;)





Bof quand on voit l’affaire Lavabit, pas besoin d’imagination xD



the_Grim_Reaper Abonné
Le 03/06/2014 à 15h 24

Zed! et Zone Central c’est la même chose en fait <img data-src=" />

Zed! est intégré dans Zone Central qui est une suite complète.



Je me suis farci les tests des outils de chiffrement l’an dernier pour raisons pro <img data-src=" />


t0FF
Le 03/06/2014 à 15h 41







zer a écrit :



Ah ces conspirationnistes.. quelle imagination :)



Attendons un retour d’un des devs, ça finira bien par arriver, avant de tirer des conclusions alarmistes ;)





Tu es bien optimistes… Le principe d’avoir des dev anonymes, par default on se sait pas qui ils sont ni combien ils sont. Enfin sauf en espionnant le réseau ou les serveurs de github.

En gros, si la NSA avait voulu faire disparaître le ou les dev, personne ne pourrait les aider. Le plus probable est que la menace ai suffit à le/les faire taire.

Ce n’est plus de l’ordre de l’imagination quand cela vient de se passer (Lavabit). Simplement ils ont du être un peu plus menaçant concernant le fait de ne pas contacter la presse.



Franchement, pour croire que le/les dev de TrueCrypt puisse encourager d’utiliser des outils concurrents de boites américaines, faut pas être un peu crédule ? <img data-src=" />



Romaindu83
Le 03/06/2014 à 15h 49







blackdream a écrit :



Tu es bien optimistes… Le principe d’avoir des dev anonymes, par default on se sait pas qui ils sont ni combien ils sont. Enfin sauf en espionnant le réseau ou les serveurs de github.

En gros, si la NSA avait voulu faire disparaître le ou les dev, personne ne pourrait les aider. Le plus probable est que la menace ai suffit à le/les faire taire.

Ce n’est plus de l’ordre de l’imagination quand cela vient de se passer (Lavabit). Simplement ils ont du être un peu plus menaçant concernant le fait de ne pas contacter la presse.



Franchement, pour croire que le/les dev de TrueCrypt puisse encourager d’utiliser des outils concurrents de boites américaines, faut pas être un peu crédule ? <img data-src=" />







Excuse-moi, mais rien que le fait d’apprendre que les développeurs de TrueCrypt n’était pas connue est assez suffisant pour me rendre méfiant.



Dans cette affaire, j’ai la conviction que personne n’est ni tout blanc, ni tout noir. Autrement, si l’arrêt du développement est du à une tierce personne, des reproches pourront être fait aux deux parties.



t0FF
Le 03/06/2014 à 15h 54







Romaindu83 a écrit :



Excuse-moi, mais rien que le fait d’apprendre que les développeurs de TrueCrypt n’était pas connue est assez suffisant pour me rendre méfiant.



Dans cette affaire, j’ai la conviction que personne n’est ni tout blanc, ni tout noir. Autrement, si l’arrêt du développement est du à une tierce personne, des reproches pourront être fait aux deux parties.





Je comprend pas trop ce que tu soupçonnes sur les dev(s).



wagaf Abonné
Le 03/06/2014 à 16h 03







zer a écrit :



Ah ces conspirationnistes.. quelle imagination :)



Attendons un retour d’un des devs, ça finira bien par arriver, avant de tirer des conclusions alarmistes ;)





Et lors des leaks “beah on savait déjà tout ça, haha tout ces abrutis qui sont étonnés” etc.



La manière dont le projet a été arrêté n’a aucune chance de correspondre à ce qui est affirmé, càd un simple arrêt normal des développeurs. Changement de site (pourquoi mettre en place un nouveau site lors de l’arrêt du projet ?), aucun message explicatif d’aucune sorte, recommandation d’utiliser la solution fermée de MS certaine (de par la loi américaine) d’avoir des backdoors etc.



Le tout alors qu’un audit de sécurité venait de plutôt bien se terminer, aucune faille majeur (ou même importante) n’ayant été découverte.



tass_
Le 03/06/2014 à 16h 05







blackdream a écrit :



Je comprend pas trop ce que tu soupçonnes sur les dev(s).





Ils sont anonymes, c’est donc forcément qu’ils ont un truc à cacher. <img data-src=" />









eXa a écrit :



Ils y en a plusieurs, mais la théorie est que la nsa/cia etc.. n’arrivant jamais a décrypter le truecrypt on fait pression sur les développeurs ce serait donc un gage de sécurité







Elle est pas mal celle-là <img data-src=" />



RaoulC
Le 03/06/2014 à 17h 02







tass_ a écrit :



Ils sont anonymes, c’est donc forcément qu’ils ont un truc à cacher. <img data-src=" />







Pedonazi terroriste des islamistes francs maçons <img data-src=" />



RaoulC
Le 03/06/2014 à 17h 05







Athropos a écrit :



Elle est pas mal celle-là <img data-src=" />





Et pourquoi pas? La restriction par la loi de la taille des clefs de chiffrement des logiciels de chiffrement vendus hors un pays, ca c’est vu .



La tentative pour mettre des portes dérobées je crois aussi.



La pression sur les dev ne me surprendrait pas du tout.<img data-src=" />



Les logiciels de chiffrements sont souvent considérés comme des armes de guerres dans certains pays “civilisés” et “démocratiques”



Bylon
Le 03/06/2014 à 17h 22

En tout cas moi c’est tout vu =&gt; dm_crypt.



(Quand j’aurais à créer de nouveau conteneurs parce qu’en attendant tcplay fonctionne parfaitement).


Perfect Slayer Abonné
Le 03/06/2014 à 18h 08

Quelqu’un aurait un lien vers le source code d’ailleurs de la 7.1 ?


Etre_Libre Abonné
Le 03/06/2014 à 18h 25







Perfect Slayer a écrit :



Quelqu’un aurait un lien vers le source code d’ailleurs de la 7.1 ?







Il y a le code source sur GitHub (lien présent sur truecrypt.ch) et on peut télécharger le tout en ZIP.



Patch Abonné
Le 03/06/2014 à 19h 15







loulnux a écrit :



Avec cryptage sous compte numéroté?



avec chiffrement <img data-src=" />

le cryptage c’est le fait de chiffrer sans connaître la clé : un ordinateur n’en est pas capable, seule une femme peut le faire <img data-src=" />



vampire7
Le 03/06/2014 à 20h 40

C’est marrant, il y a une théorie sur les raisons de l’abandon de TrueCrypt qui n’a pas été évoquée : une simple engueulade entre les développeurs.



En tout cas, ce ne serait pas le premier fork de TrueCrypt…



Quant au sujet de l’anonymat des développeurs, pour ma part, ça m’inspire plus confiance qu’en des gars qui donnent leur nom : un vrai parano est plus apte à en comprendre un autre.


Kamalen
Le 03/06/2014 à 21h 56







vampire7 a écrit :



C’est marrant, il y a une théorie sur les raisons de l’abandon de TrueCrypt qui n’a pas été évoquée : une simple engueulade entre les développeurs.







Ils en auraient vite parlé alors, en tout cas d’après moi.







tass_ a écrit :



Ils sont anonymes, c’est donc forcément qu’ils ont un truc à cacher. <img data-src=" />









vampire7 a écrit :



Quant au sujet de l’anonymat des développeurs, pour ma part, ça m’inspire plus confiance qu’en des gars qui donnent leur nom : un vrai parano est plus apte à en comprendre un autre.







Les devs sont anonymes mais le code source est disponible ; rester anonyme permet (enfin était supposé) simplement d’éviter de se faire emmerder par qui voudrait bloquer le soft.









vampire7 a écrit :



C’est marrant, il y a une théorie sur les raisons de l’abandon de TrueCrypt qui n’a pas été évoquée : une simple engueulade entre les développeurs.



En tout cas, ce ne serait pas le premier fork de TrueCrypt…



Quant au sujet de l’anonymat des développeurs, pour ma part, ça m’inspire plus confiance qu’en des gars qui donnent leur nom : un vrai parano est plus apte à en comprendre un autre.





Ouais, les mecs ont bossé ensemble pendant dix ans sur le même projet, n’ont rien sorti depuis 2 ans, se préparaient à revoir l’interface pour W8 (évolution naturelle qui ne devrait pas causer de friction) et tout d’un coup hop, une engueulade, 10 ans d’efforts foutus en l’air. Je parle d’efforts concernant l’implémentation du programme mais également l’image de marque crédible que s’est forgé TrueCrypt depuis ses débuts. Mieux, dans leur rage noire, ils décident de recommander BitLocker, un truc qu’ils savent d’ores et déjà compromis.



Franchement, c’est possible mais peu probable !



vampire7
Le 04/06/2014 à 00h 44







RRMX a écrit :



se préparaient à revoir l’interface pour W8 (évolution naturelle qui ne devrait pas causer de friction)





Euh, non. Il était seulement question d’une “compatibilité” avec Windows 8, pas d’un changement d’interface.







RRMX a écrit :



et tout d’un coup hop, une engueulade, 10 ans d’efforts foutus en l’air.





Justement, plus on passe de temps ensemble, plus la probabilité de s’engueuler est grande.

Et il a aussi fallu plus de 10 ans avant d’avoir la scission des développeurs d’openoffice…







RRMX a écrit :



Je parle d’efforts concernant l’implémentation du programme





J’ai lu à peu près la moitié du code source. Sachant que TrueCrypt est basé sur E4M, que les algos de chiffrement n’ont pratiquement pas été touchés (d’où les performances désastreuses de TrueCrypt), hé bien… Faudrait peut-être pas surestimer le boulot fourni.







RRMX a écrit :



mais également l’image de marque crédible que s’est forgé TrueCrypt depuis ses débuts.





Les gens utilisent TrueCrypt parce qu’il est gratuit, open-source, et parce que c’est le plus utilisé (la popularité s’alimente elle-même). Et une fois que les volumes chiffrés sont créés, comme c’est souvent laborieux de changer de logiciel de chiffrement, ben on reste sur TrueCrypt, ce qui contribue à en augmenter le nombre d’utilisateurs.

Mais pour moi, popularité n’est pas forcément synonyme de crédibilité.







RRMX a écrit :



Mieux, dans leur rage noire, ils décident de recommander BitLocker, un truc qu’ils savent d’ores et déjà compromis.





Compromis ? Tu veux qu’on parle de la sécurité de TrueCrypt ? Les faiblesses cryptographiques ont été publiées dans l’audit, mais ce dernier ne fait pas mention de toutes les traces générées dans le système (base de registre et journaux des évènements), de sa vulnérabilité aux keyloggers, etc.



eXa
Le 04/06/2014 à 07h 27







Athropos a écrit :



Elle est pas mal celle-là <img data-src=" />









zer a écrit :



Ah ces conspirationnistes.. quelle imagination :)



Attendons un retour d’un des devs, ça finira bien par arriver, avant de tirer des conclusions alarmistes ;)







Je dis bien c’est un théorie mais quand chez Kaspersky la phrase de fin est:



The last thing people would expect from a software developer is a sudden vanishing into the mist without an explanation. This is not the way things should work. Especially in the information security area.





http://business.kaspersky.com/truecrypt-unexplained-disappearance/



Ensuite ils on réuni 30K \( pour faire un audit de True Crypt ça vous parrait normal de faire ça si on veut tout arreter ?



Whether or not volunteer developers pick up and run with the TrueCrypt code to keep it going, Green said he’s committed to finishing what he started with the code audit, if for no other reason than he’s sitting on \)30,000 raised for just that purpose.





http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/



Alors oui ce n’est peut-être pas une histoire de nsa/cia mais il s’est passé quelque chose qui a fait que du jour au lendemain ils arretent TrueCrypt sans communiquer…..









eXa a écrit :



Alors oui ce n’est peut-être pas une histoire de nsa/cia mais il s’est passé quelque chose qui a fait que du jour au lendemain ils arretent TrueCrypt sans communiquer…..





Ils ont paumé la passphrase de leur volume chiffré…



RaoulC
Le 04/06/2014 à 08h 24







vampire7 a écrit :



de sa vulnérabilité aux keyloggers, etc.







C’est difficile de trouver un outil où l’on doit saisir son mot de passe qui ne soit pas vulnérable aux keyloggers.<img data-src=" />



Truecrypt permet quand même l’utilisation de “fichiers clefs”.

Mais le keylogger peut facilement être doté de la fonction “capture d’écran” où la on peut potentiellement découvrir le fichier clef en question.<img data-src=" />



Si la machine est compromise, les outils de sécurité ont une utilité toute relative.<img data-src=" />



vampire7
Le 04/06/2014 à 09h 40







RaoulC a écrit :



C’est difficile de trouver un outil où l’on doit saisir son mot de passe qui ne soit pas vulnérable aux keyloggers.<img data-src=" />





Et pourtant, ça se trouve. Je connais aujourd’hui 2 logiciels de chiffrement qui s’en occupent, et c’est trop peu à mon goût. A quoi bon se faire chier à garder toutes les clés en RAM, à les nettoyer dès que possible etc. (ce que fait TrueCrypt), si c’est pour se faire chopper le passe avec un simple keylogger ? Un keylogger est beaucoup plus facile à faire qu’un programme qui scrute la RAM ou le swap à la recherche des clés de chiffrement…







RaoulC a écrit :



Truecrypt permet quand même l’utilisation de “fichiers clefs”.





Je trouve ça absurde : tester chaque fichier du disque ne prendra au maximum que quelques heures.







RaoulC a écrit :



Si la machine est compromise, les outils de sécurité ont une utilité toute relative.<img data-src=" />





Oui, mais la sécurité n’est jamais absolue. C’est un effort constant à fournir pour compliquer au maximum la tâche des logiciels malveillants.



tass_
Le 04/06/2014 à 09h 50







vampire7 a écrit :



Et pourtant, ça se trouve. Je connais aujourd’hui 2 logiciels de chiffrement qui s’en occupent, et c’est trop peu à mon goût. A quoi bon se faire chier à garder toutes les clés en RAM, à les nettoyer dès que possible etc. (ce que fait TrueCrypt), si c’est pour se faire chopper le passe avec un simple keylogger ? Un keylogger est beaucoup plus facile à faire qu’un programme qui scrute la RAM ou le swap à la recherche des clés de chiffrement…





Et comment ils font tes programmes pour ne pas être vulnérables à un keylogger qui prend des captures d’écran toutes les secondes ou moins ?



vampire7
Le 04/06/2014 à 10h 08







tass_ a écrit :



Et comment ils font tes programmes pour ne pas être vulnérables à un keylogger qui prend des captures d’écran toutes les secondes ou moins ?





Je croyais que les mots de passe cachés par des astérisques étaient une pratique généralisée, mais pas pour tout le monde apparemment…



tass_
Le 04/06/2014 à 10h 15







vampire7 a écrit :



Je croyais que les mots de passe cachés par des astérisques étaient une pratique généralisée, mais pas pour tout le monde apparemment…





Tu sais ce que veux dire “keylogger” au moins, rassure moi ?

Les astérisques ça sert à rien si t’as les inputs clavier….



vampire7
Le 04/06/2014 à 10h 23







tass_ a écrit :



Les astérisques ça sert à rien si t’as les inputs clavier….





C’est justement ça qu’une protection contre les keyloggers doit éviter. Et crois-le ou non, mais ça marche.



tass_
Le 04/06/2014 à 10h 28







vampire7 a écrit :



C’est justement ça qu’une protection contre les keyloggers doit éviter. Et crois-le ou non, mais ça marche.





Je suis pas croyant désolé, je veux donc une explication.



vampire7
Le 04/06/2014 à 10h 42







tass_ a écrit :



Je suis pas croyant désolé, je veux donc une explication.





Pareil, je ne suis pas croyant. J’ai donc testé.

Si les détails techniques t’intéressent, ce sera en privé.



kikoo25
Le 04/06/2014 à 10h 48







wagaf a écrit :



La manière dont le projet a été arrêté n’a aucune chance de correspondre à ce qui est affirmé, càd un simple arrêt normal des développeurs. Changement de site (pourquoi mettre en place un nouveau site lors de l’arrêt du projet ?), aucun message explicatif d’aucune sorte, recommandation d’utiliser la solution fermée de MS certaine (de par la loi américaine) d’avoir des backdoors etc.



Le tout alors qu’un audit de sécurité venait de plutôt bien se terminer, aucune faille majeur (ou même importante) n’ayant été découverte.





+1. Il m’est déjà arrivé d’abandonner des projets, mais dans ces cas à chaque fois, une fois la décision prise, j’ai laissé le site tourner tranquillement +/- comme avant et mourir (ou pas) à petit feu. Là, tout supprimer d’un coup sans même prévenir, et en plus encourager à utiliser un concurrent fermé produit en plus par pas n’importe qui, faut être bien naïf pour ne pas imaginer qu’on nous dit pas tout…







vampire7 a écrit :



Compromis ? Tu veux qu’on parle de la sécurité de TrueCrypt ? Les faiblesses cryptographiques ont été publiées dans l’audit, mais ce dernier ne fait pas mention de toutes les traces générées dans le système (base de registre et journaux des évènements), de sa vulnérabilité aux keyloggers, etc.





La sécurité n’est pas un logiciel, c’est un processus. Sur une machine compromise, c’est déjà foutu, audit ou pas, logiciel de-la-mort-qui-tue ou pas…



RaoulC
Le 04/06/2014 à 10h 51







vampire7 a écrit :



Et pourtant, ça se trouve. Je connais aujourd’hui 2 logiciels de chiffrement qui s’en occupent, et c’est trop peu à mon goût.





Donne les noms alors, que l’on en profite tous <img data-src=" />

J’ai bien entendu parler de Keyscrambler mais comment dire..

Closed source et WIndows only.



En plus ca parasite le fonction normal de l’OS quand même

http://www.networkworld.com/article/2190278/infrastructure-management/encrypt-ke…

Ils ont testé la compatibilité avec les navigateurs web et office.

Rien ne dit que cela ne posera pas de soucis avec une appli quelconque.

Un driver kernel , c’est “lourd”.



SI c’était si facile à faire il y aurait surement plus de logiciels<img data-src=" />





Je trouve ça absurde : tester chaque fichier du disque ne prendra au maximum que quelques heures.



On parle de lutter contre les keyloggers, pour lesquels l’attaquant na pa besoin d’avoir accès physique à la machine. Pour scanner les disques a la recherche d’un fichier clef, il faut déjà être en perquisition (ou avoir développé plus qu’iun simple keylogger <img data-src=" />)

Et puis, comme tu l’a dit, le but c’est de ralentir. Hors keylogger, si tu cumule fichier+mot de passe, cela risque de…durer <img data-src=" />



Mais oui c’est faillible, forcément :p





Oui, mais la sécurité n’est jamais absolue. C’est un effort constant à fournir pour compliquer au maximum la tâche des logiciels malveillants.



<img data-src=" />



RaoulC
Le 04/06/2014 à 11h 05



La manière dont le projet a été arrêté n’a aucune chance de correspondre à ce qui est affirmé, càd un simple arrêt normal des développeurs. Changement de site (pourquoi mettre en place un nouveau site lors de l’arrêt du projet ?), aucun message explicatif d’aucune sorte, recommandation d’utiliser la solution fermée de MS certaine (de par la loi américaine) d’avoir des backdoors etc.



Le tout alors qu’un audit de sécurité venait de plutôt bien se terminer, aucune faille majeur (ou même importante) n’ayant été découverte.





En fait il se dit aussi que le fait de conseiller Bitlocker est un moyen de faire comprendre sans le dire qu’on exerce des pressions sur eux.



Des auteurs paranos qui tout d’un coup conseillent une solution américaine fermée? Mais qui peut y croire?



Que l’on trouve les théories du complot ridicules, soit, mais dans ce cas que l’on dise dans quel but ils conseilleraient un produit comme BL.<img data-src=" />



vampire7
Le 04/06/2014 à 11h 26







kikoo25 a écrit :



La sécurité n’est pas un logiciel, c’est un processus. Sur une machine compromise, c’est déjà foutu, audit ou pas, logiciel de-la-mort-qui-tue ou pas…









RaoulC a écrit :



SI c’était si facile à faire il y aurait surement plus de logiciels<img data-src=" />





Ca tombe bien, je ne parlais pas de logiciel mais d’une fonctionnalité d’un logiciel de chiffrement, ce que Keyscrambler n’est pas.



RaoulC
Le 04/06/2014 à 12h 25







vampire7 a écrit :



Ca tombe bien, je ne parlais pas de logiciel mais d’une fonctionnalité d’un logiciel de chiffrement, ce que Keyscrambler n’est pas.







Si tu veut …entre fonctionnalité d’un logiciel et un logiciel…tu joue sur les mots mais bon, bref. <img data-src=" />



Et j’attend toujours les noms des solutions auquel tu pense. D’une part parce que je suis sceptique, et si cela existe vraiment, et bien j’aurais appris quelque chose et je serais ravit de leur existence. <img data-src=" />



vampire7
Le 04/06/2014 à 13h 16







RaoulC a écrit :



Et j’attend toujours les noms des solutions auquel tu pense. D’une part parce que je suis sceptique, et si cela existe vraiment, et bien j’aurais appris quelque chose et je serais ravit de leur existence. <img data-src=" />





Alors regarde tes messages.



vampire7
Le 04/06/2014 à 14h 37







RaoulC a écrit :





Finalement, ça ne t’intéressait pas tant que ça…



RaoulC
Le 04/06/2014 à 16h 30







vampire7 a écrit :



Finalement, ça ne t’intéressait pas tant que ça…







Je reviens des courses <img data-src=" />

Je regarde et on continue par pm…. ou pas :)



RaoulC
Le 04/06/2014 à 17h 25

Alors j’ai testé quelques keyloggers (à base SetWindowHookEx et RawInput) et aucun n”a vu les mots de passes que j’ai saisit dans l’appli de vampire7..<img data-src=" /><img data-src=" />



Pas essayé par contre ceux qui injectent des threads /dll dans les processus.


Anonyme_f7d8f7f164fgnbw67p
Le 04/06/2014 à 17h 29







Patch a écrit :



avec chiffrement <img data-src=" />

le cryptage c’est le fait de chiffrer sans connaître la clé : un ordinateur n’en est pas capable, seule une femme peut le faire <img data-src=" />





<img data-src=" /><img data-src=" /><img data-src=" />

Ah ah , très bon !



Seule une femme peut le faire, grace à l’utilisation de la logique floue.



Porkepix
Le 04/06/2014 à 17h 37







vampire7 a écrit :



Justement, plus on passe de temps ensemble, plus la probabilité de s’engueuler est grande.

Et il a aussi fallu plus de 10 ans avant d’avoir la scission des développeurs d’openoffice…





Les gens d’OpenOffice ne se sont pas engueulés. Ça a fait suite au rachat de Sun par Oracle qui a posé de grandes questions sur l’avenir du soft, les licences, la direction prise et le management. Ça ne convenait pas à tous, d’où la création de LibreOffice.



S’il n’y avait pas eu ce foutu rachat par Oracle, il n’y aurait pas eu de fork, et OpenOffice aurait continué comme il avait commencé.



vampire7
Le 04/06/2014 à 17h 52







Porkepix a écrit :



Les gens d’OpenOffice ne se sont pas engueulés. Ça a fait suite au rachat de Sun par Oracle qui a posé de grandes questions sur l’avenir du soft, les licences, la direction prise et le management. Ça ne convenait pas à tous, d’où la création de LibreOffice.



S’il n’y avait pas eu ce foutu rachat par Oracle, il n’y aurait pas eu de fork, et OpenOffice aurait continué comme il avait commencé.





Ben oui, une engueulade, qu’on l’appelle “baston” ou “divergence d’opinion”, n’apparait pas sans raison…

Et la raison peut être aussi dérisoire qu’un simple message d’un développeur de TrueCrypt aux autres, genre “bon, ça gueule sur le forum, qu’est-ce qu’on fait à propos du boot sur GPT ?”.



Porkepix
Le 04/06/2014 à 17h 55







vampire7 a écrit :



Ben oui, une engueulade, qu’on l’appelle “baston” ou “divergence d’opinion”, n’apparait pas sans raison…

Et la raison peut être aussi dérisoire qu’un simple message d’un développeur de TrueCrypt aux autres, genre “bon, ça gueule sur le forum, qu’est-ce qu’on fait à propos du boot sur GPT ?”.







Sauf que dans le cas d’oOo le problème ne venait pas des développeurs à proprement parler mais du rachat et de ceux qui décident sans participer au développement. Aka la direction d’Oracle.



Patch Abonné
Le 04/06/2014 à 18h 34







Drepanocytose a écrit :



<img data-src=" /><img data-src=" /><img data-src=" />

Ah ah , très bon !



Seule une femme peut le faire, grace à l’utilisation de la logique floue.



tu crois sincèrement qu’elles utilisent une logique, même floue? <img data-src=" />