En dépit d’un audit de sécurité dont les conclusions étaient limpides, la version Windows de TrueCrypt contient bien deux failles, dont une critique. Elles ont été découvertes par un chercheur en sécurité de chez Google, qui enjoint les utilisateurs à basculer sur une solution alternative.
TrueCrypt est une solution de chiffrement à la volée qui a été particulièrement utilisée sous Windows. En mai de l’année dernière, l’équipe de développement a annoncé brutalement que le logiciel ne serait plus entretenu. Il y avait eu plusieurs conséquences, notamment la création de projets tiers et open source en reprenant le code, ainsi qu’un audit de sécurité qui a nécessité plusieurs mois.
En dépit de son audit, TrueCrypt contient deux failles
Les conclusions de cet examen étaient très claires : le code de TrueCrypt présentait bien quelques problèmes, mais aucune faille majeure, ni surtout aucune porte dérobée. Les conclusions de Cryptography Services, engagée à cette occasion, sont désormais remises en cause. Le chercheur James Forshaw, dans le cadre du Project Zero de Google, a en effet découvert deux brèches de sécurité, dont une critique.
Ces deux failles ont déjà leurs bulletins CVE (CVE-2015-7358 et CVE-2015-7359) mais les détails sont pour l’instant inaccessibles. James Forshaw a en effet averti l’équipe de développement de VeraCrypt (fork open source de TrueCrypt) il y a environ deux semaines. VeraCrypt en avait informé ses utilisateurs par un tweet, indiquant qu’une version 1.15 serait prochainement mise à disposition. Une semaine plus tard, elle est effectivement sortie, et les notes de version indiquent clairement la correction des deux failles. Les détails devraient quant à eux être disponibles d'ici quelques jours.
Élévation de privilèges et installation de malwares
Au sujet de ces dernières, seule la première est considérée comme critique. Elle permet sous Windows une élévation locale des privilèges en détournant la gestion des lettres des lecteurs. Il faut savoir cependant que ces failles ne remettent pas en question la sécurité de TrueCrypt lui-même, et donc de son chiffrement. Cependant, leur association peut permettre l’installation de malwares disposant de tous les droits, qui auront ensuite à loisir d’effectuer leur sale besogne, y compris chercher à récupérer les clés de chiffrement.
Dans tous les cas, la découverte est gênante car elle invalide les conclusions de l’audit de sécurité, qui avait justement pour objectif de débusquer ce type de problème. Car si un chercheur a pu trouver deux failles de sécurité, rien ne permet d’affirmer qu’il s’agissait des seules à ne pas avoir été détectées. Le constat est d’autant plus problématique que l’audit indiquait également qu’il n’y avait pas de portes dérobées.
Une raison supplémentaire d'abandonner TrueCrypt
Ce point a d’ailleurs fait réagir le chercheur James Forshaw. Dans un tweet, il a indiqué qu’il ne pensait pas que ces bugs avaient été ajoutés intentionnellement. Par ailleurs, il estime qu’en dépit du sérieux d’un audit, des problèmes de ce type pourront toujours passer au travers des mailles du filet. Un point de vue compréhensif alimenté notamment par les caractéristiques de la faille critique, qui s’appuie en fait sur un pilote Windows. Or, ces pilotes sont selon Forshaw des « bêtes complexes » avec lesquelles l’erreur est vite arrivée.
La recommandation générale est quoi qu’il en soit d’abandonner TrueCrypt si ce n’est pas encore fait. On se souviendra d'ailleurs du message présent (encore aujourd'hui) sur la page de ce projet : « Utiliser TrueCrypt n'est pas sécurisé car il peut y avoir des failles de sécurité non corrigées ». Le conseil de l’équipe de développement du logiciel initial était, pour les utilisateurs de Windows, de passer à BitLocker. Mais ceux qui aimaient le produit et qui préfèrent se tourner vers un équivalent open source pourront télécharger VeraCrypt.
