Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

TrueCrypt pour Windows contient deux failles, dont une critique

L'audit avait pourtant été clair
Logiciel 3 min
TrueCrypt pour Windows contient deux failles, dont une critique
Crédits : Vertigo3d/iStock

En dépit d’un audit de sécurité dont les conclusions étaient limpides, la version Windows de TrueCrypt contient bien deux failles, dont une critique. Elles ont été découvertes par un chercheur en sécurité de chez Google, qui enjoint les utilisateurs à basculer sur une solution alternative.

TrueCrypt est une solution de chiffrement à la volée qui a été particulièrement utilisée sous Windows. En mai de l’année dernière, l’équipe de développement a annoncé brutalement que le logiciel ne serait plus entretenu. Il y avait eu plusieurs conséquences, notamment la création de projets tiers et open source en reprenant le code, ainsi qu’un audit de sécurité qui a nécessité plusieurs mois.

En dépit de son audit, TrueCrypt contient deux failles

Les conclusions de cet examen étaient très claires : le code de TrueCrypt présentait bien quelques problèmes, mais aucune faille majeure, ni surtout aucune porte dérobée. Les conclusions de Cryptography Services, engagée à cette occasion, sont désormais remises en cause. Le chercheur James Forshaw, dans le cadre du Project Zero de Google, a en effet découvert deux brèches de sécurité, dont une critique.

Ces deux failles ont déjà leurs bulletins CVE (CVE-2015-7358 et CVE-2015-7359) mais les détails sont pour l’instant inaccessibles. James Forshaw a en effet averti l’équipe de développement de VeraCrypt (fork open source de TrueCrypt) il y a environ deux semaines. VeraCrypt en avait informé ses utilisateurs par un tweet, indiquant qu’une version 1.15 serait prochainement mise à disposition. Une semaine plus tard, elle est effectivement sortie, et les notes de version indiquent clairement la correction des deux failles. Les détails devraient quant à eux être disponibles d'ici quelques jours.

Élévation de privilèges et installation de malwares

Au sujet de ces dernières, seule la première est considérée comme critique. Elle permet sous Windows une élévation locale des privilèges en détournant la gestion des lettres des lecteurs. Il faut savoir cependant que ces failles ne remettent pas en question la sécurité de TrueCrypt lui-même, et donc de son chiffrement. Cependant, leur association peut permettre l’installation de malwares disposant de tous les droits, qui auront ensuite à loisir d’effectuer leur sale besogne, y compris chercher à récupérer les clés de chiffrement.

Dans tous les cas, la découverte est gênante car elle invalide les conclusions de l’audit de sécurité, qui avait justement pour objectif de débusquer ce type de problème. Car si un chercheur a pu trouver deux failles de sécurité, rien ne permet d’affirmer qu’il s’agissait des seules à ne pas avoir été détectées. Le constat est d’autant plus problématique que l’audit indiquait également qu’il n’y avait pas de portes dérobées.

Une raison supplémentaire d'abandonner TrueCrypt

Ce point a d’ailleurs fait réagir le chercheur James Forshaw. Dans un tweet, il a indiqué qu’il ne pensait pas que ces bugs avaient été ajoutés intentionnellement. Par ailleurs, il estime qu’en dépit du sérieux d’un audit, des problèmes de ce type pourront toujours passer au travers des mailles du filet. Un point de vue compréhensif alimenté notamment par les caractéristiques de la faille critique, qui s’appuie en fait sur un pilote Windows. Or, ces pilotes sont selon Forshaw des « bêtes complexes » avec lesquelles l’erreur est vite arrivée.

La recommandation générale est quoi qu’il en soit d’abandonner TrueCrypt si ce n’est pas encore fait. On se souviendra d'ailleurs du message présent (encore aujourd'hui) sur la page de ce projet : « Utiliser TrueCrypt n'est pas sécurisé car il peut y avoir des failles de sécurité non corrigées ». Le conseil de l’équipe de développement du logiciel initial était, pour les utilisateurs de Windows, de passer à BitLocker. Mais ceux qui aimaient le produit et qui préfèrent se tourner vers un équivalent open source pourront télécharger VeraCrypt.

75 commentaires
Avatar de Tatsu-Kan INpactien
Avatar de Tatsu-KanTatsu-Kan- 02/10/15 à 13:38:30

Pour ces deux failles, il n'y a que peu de risque si l'on utilise ses propres volumes truecrypt.
La recommandation "générale" me semble assez extrême.

Avatar de AltreX Abonné
Avatar de AltreXAltreX- 02/10/15 à 13:40:59

Il faut savoir cependant que ces failles ne remettent pas en question la sécurité de TrueCrypt lui-même, et donc de son chiffrement. Cependant, leur association peut permettre l’installation de malwares disposant de tous les droits, qui auront ensuite à loisir d’effectuer leur sale besogne, y compris chercher à récupérer les clés de chiffrement.

Pas très clair ce point, ce que j'ai compris (dites moi si je me trompe) :
Le fait d'avoir le logiciel Truecrypt sur windows est sensible à la faille en question. En revanche, utiliser un disque ou autres moyen de stockage chiffré par un Truecrypt est Ok.

Avatar de Pr. Thibault INpactien
Avatar de Pr. ThibaultPr. Thibault- 02/10/15 à 13:43:32

AltreX a écrit :

Pas très clair ce point, ce que j'ai compris (dites moi si je me trompe) :
Le fait d'avoir le logiciel Truecrypt sur windows est sensible à la faille en question. En revanche, utiliser un disque ou autres moyen de stockage chiffré par un Truecrypt est Ok.

A mon avis cette faille concerne l'hypothèse dans laquelle tu récupères un fichier crypté avec TrueCrypt et vérolé et que tu le "montes" sur une partition de ton PC avec une version de TrueCrypt qui contient la faille. Le fichier crypté vérolé pourra alors exécuter du code malicieux avec les droits admin sur ton PC.
 
 Pour ceux (probablement 99% des utilisateurs) qui utilisent TrueCrypt avec leurs propres fichiers qu'ils ont créé eux-mêmes, je pense qu'il y a 0 risque (du moins avec ces 2 failles, il y en a peut-être d'autres non connues).

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Alors...faut abandonner TrueCrypt ...ok

pour ?

ah bin oui pour leur propre produit qui a lui corrigé ses failles...

Mais true crypt ,il me semblait qu'il y avait un feuilleton dessus ,y a peu, non ?

Donc la team truecrypt a deux billets sur ces failles qu'ils n'ont pas corrigé mais VeraCrypt si .... ces derniers connaissent donc les failles et les ont corrigés ...
C'est bizarre pour moi perso.
Mais qui nous dit que veracrypt n'a pas ses propres failles ...que true crypt n'aurait pas ...et VeraCrypt ne donne pas la correction des failles reportées en billet non publiques à truecrypt ...

Avatar de AltreX Abonné
Avatar de AltreXAltreX- 02/10/15 à 13:46:33

Ok je comprends mieux !
merci bien pour cette réponse :D

Avatar de Albirew INpactien
Avatar de AlbirewAlbirew- 02/10/15 à 13:50:37

James Forshaw a en effet averti l’équipe de développement de VeraCrypt (fork open source de TrueCrypt) il y a environ deux semaines.

Lire de travers (de porc), çaymal :transpi:

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 02/10/15 à 13:57:08

Mouais, je reste dubitatif. Sans jouer à Mme Irma, la majorité des utilisateurs se servent de TrueCrypt pour chiffrer (au moins) un lecteur et y stocker ainsi des données.

Le cas exposé est vraiment rare. Comme tout le reste, c'est toujours bien de savoir qu'il y a une faille que de rien savoir, mais j'avoue que le cas exposé est vraiment marginal.

Bref, si vous avez votre partoche système ou une autre de stockage, ne changez rien et n'ouvrez pas une partoche extérieure à votre PC.

Au final, on retombe toujours sur l'ICC. Perso je n'ai jamais réçu de partition chiffrées, et si j'en reçois une je trouverez ça suspect.

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 02/10/15 à 13:57:42

:bravo:

Avatar de spidy Abonné
Avatar de spidyspidy- 02/10/15 à 13:58:02

question : queslqu'un ici a testé VeraCrypt en ayant auparavant des volumes/disques entiers encryptés (pré-boot) avec TrueCrypt ? il y a eu des soucis de compatibilité ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 8