Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chiffrement : l’institut Fraunhofer donne son feu vert à TrueCrypt, malgré des faiblesses

Deux audits, des résultats similaires
Logiciel 5 min
Chiffrement : l’institut Fraunhofer donne son feu vert à TrueCrypt, malgré des faiblesses
Crédits : prill/iStock

Un long rapport allemand proclame que la sécurité de TrueCrypt est en fait meilleure que ce que l’on pouvait penser. Elle n’est pas parfaite, mais les failles détectées sont mineures. En outre, les soucis repérés sont du même acabit que ceux que l’on trouve habituellement dans des solutions équivalentes, TrueCrypt n’étant jugé « ni meilleur ni pire ».

Il est nécessaire de retracer la chronologie des évènements autour de TrueCrypt pour mieux comprendre les résultats du rapport allemand. Le logiciel de chiffrement était l’une des références dans ce domaine sous Windows. Il permettait de chiffrer les informations de lecteurs entiers ou de dossiers plus ciblés. Ses développeurs n’ont jamais été identifiés. Quand ils annoncent en mai 2014 qu’ils arrêtent de s’occuper de TrueCrypt, c'est un coup de tonnerre.

La décision n’était accompagnée d’aucune explication. Mais un avertissement a très rapidement résonné : les auteurs prévenaient que le logiciel pouvait contenir des failles de sécurité non corrigées. Le conseil était très simple, chiffrer l’intégralité du disque dur avec BitLocker de Microsoft, ce qui n’a pas manqué de faire soulever bon nombre de sourcils. Un audit de sécurité complet était pourtant en cours, financé d’ailleurs de manière participative.

Un audit rassurant, puis deux failles de sécurité

Peu de temps après, les conclusions de l’audit apparaissent : il n’y a pas d’urgence à se débarrasser de TrueCrypt car le code du logiciel ne présente ni porte dérobée (la plus grande crainte) ni de failles de sécurité majeures. La société Cryptography Services, engagée pour mener à bien l’examen, indiquait tout de même que des zones d’amélioration avaient été identifiées, notamment le recours à une API Windows considérée comme obsolète. D’autres soucis avaient été soulignés, comme dans le déchiffrement des en-têtes ou dans les implémentations d’AES, mais rien de vraiment dramatique.

Le mois dernier, coup de théâtre. Le chercheur James Forshaw, travaillant chez Google sur le Project Zero, montre que deux failles de sécurité sont présentes dans TrueCrypt, dont une critique. Une découverte qui ne contredit pourtant pas directement les résultats du premier audit. La principale vulnérabilité ne concernait en effet pas le chiffrement lui-même, mais une fonctionnalité sous Windows qui pouvait être exploitée pour entrainer une élévation locale des privilèges. Exploitée correctement, elle aurait permis à un pirate de provoquer l’installation d’un ou plusieurs malwares. Il s’agissait donc bel et bien d’un vrai problème de sécurité, mais le cœur de TrueCrypt n’était pas remis en cause. Dans la foulée, le « fork » VeraCrypt, qui avait repris les sources de TrueCrypt, avait cependant été mis à jour, les développeurs ayant été avertis par Forshaw en amont.

L'institut Fraunhofer confirme les résultats du premier audit

Désormais, c’est à l’Allemagne de confirmer qu’il n’y a en l’état pas grand-chose à craindre de TrueCrypt. Un important rapport a été remis le 16 novembre par le Bureau fédéral de la sécurité des informations. Sur son blog, le responsable de cet audit, le professeur Eric Bodden de l’institut Fraunhofer, explique que l’examen a duré plus de six mois et qu’il a été réalisé à la demande du gouvernement allemand.

Et l’audit est assez clair : en dépit de quelques lacunes, l’institut Fraunhofer donne son feu vert à TrueCrypt. Traduction, il n’y a pas d’urgence à changer rapidement de solution de chiffrement, même si l’absence d’entretien du code est évidemment un problème. Il ne faut pas oublier cependant que les découvertes réalisées sur TrueCrypt peuvent être récupérées par les forks, dont VeraCrypt. Ce dernier a d’ailleurs réagi sur son compte Twitter pour indiquer que le nouvel audit va dans le sens du premier et que les faiblesses qui ont été soulignées ne se retrouvent pas dans le nouveau logiciel.

Le rapport de Fraunhofer va quand même un peu plus loin, affirmant que TrueCrypt est fait plus sécurisé que ce que les précédents rapports pouvaient suggérer. Eric Bodden indique ainsi : « je dirais que le code de TrueCrypt est probablement très bien en grande majorité. Les failles que nous avons découvertes sont mineures et des failles similaires peuvent toujours être trouvées dans les autres implémentations des fonctions cryptographiques. En ce sens, TrueCrypt n’est ni meilleur ni pire que ses alternatives ».

TrueCrypt contient des faiblesses et ne peut pas résister à certains malwares

Pour autant, les processus utilisés ne sont pas optimaux. On retrouve ainsi plusieurs points soulignés par le premier audit, notamment une implémentation d’AES qui ne protège pas contre les attaques temporelles, des clés de chiffrement qui pourraient être utilisées de manière plus sécurisée et des en-têtes de volumes qui devraient être mieux protégés. Par ailleurs, et il s’agit d’un point important, TrueCrypt est surtout efficace pour chiffrer du contenu local et n’est pas conçu pour résister à des attaques actives du type keyloggers (enregistreurs de frappe) et d’autres types de malwares. Il ne peut s’interfacer avec des puces TPM ou d’autres solutions matérielles de sécurité.

L’audit rassurera bien sûr l’ensemble des utilisateurs de TrueCrypt qui pouvaient encore ressentir une certaine urgence à migrer vers une autre solution. VeraCrypt se pose en champion de la reprise, mais d’autres critères peuvent intervenir en milieu professionnel. Aussi, s’il n’y a pas d’urgence, le conseil reste de réfléchir à un remplaçant car si des failles de sécurité devaient être trouvées plus tard, elles ne pourraient pas être corrigées. Évidemment, avec deux audits complets du code déclarant qu’il n’existe pas de faille majeure dans le chiffrement, l’urgence est moindre.

46 commentaires
Avatar de Darckiller INpactien
Avatar de DarckillerDarckiller- 24/11/15 à 16:19:01

Signaler ce commentaire aux modérateurs :

Donc opter pour VeraCrypt si l'on a pas encore chiffré son HDD.
Ceux qui on TrueCrypt, pas trop d'urgence pour migrer vers VeraCrypt.

Sinon, pour cette histoire de NSA, hummm

Avatar de La Loutre INpactien
Avatar de La LoutreLa Loutre- 24/11/15 à 16:23:59

Signaler ce commentaire aux modérateurs :

Darckiller a écrit :

Donc opter pour VeraCrypt si l'on a pas encore chiffré son HDD.
Ceux qui on TrueCrypt, pas trop d'urgence pour migrer vers VeraCrypt.

Sinon, pour cette histoire de NSA, hummm

Pour info, un HDD crypter sous TC est lisible sous VC sans aucun soucis.
Donc passer de TC à VC, aucun soucis.

Maintenant, est-ce que TC va revenir sur le devant de la scène, ça reste une bonne question.

Édité par Aces le 24/11/2015 à 16:24
Avatar de Ricard INpactien
Avatar de RicardRicard- 24/11/15 à 16:28:09

Signaler ce commentaire aux modérateurs :

J'utilise toujours TC personnellement. J'ai jamais vu le besoin de changer, l'histoire de l'abandon me paraissait capilotracté.
Mais lors d'une prochaine installation toute neuve, je poserais VC.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 24/11/15 à 16:28:45

Signaler ce commentaire aux modérateurs :

Darckiller a écrit :

Donc opter pour VeraCrypt si l'on a pas encore chiffré son HDD.
Ceux qui on TrueCrypt, pas trop d'urgence pour migrer vers VeraCrypt.

Sinon, pour cette histoire de NSA, hummm

Par contre Veracrypt est chiant au niveau du temps nécessaire pour vérifier le password au démarrage... quasiment 1min et c'est pas un bug donc ce ne sera pas corrigé.

Avatar de La Loutre INpactien
Avatar de La LoutreLa Loutre- 24/11/15 à 16:31:10

Signaler ce commentaire aux modérateurs :

Tu sais VC à la même interface que TC, tout pareil.
j'ai un pote qui est était sous TC et il n'arrêtait pas d'avoir des messages de Win8.1 qui lui disait de passer sous bitlocker et un matin je suis passé chez lui et je lui ai installé VC et depuis, il est content comme tout. :)

Avatar de Bejarid INpactien
Avatar de BejaridBejarid- 24/11/15 à 16:31:33

Signaler ce commentaire aux modérateurs :

Obidoub a écrit :

Par contre Veracrypt est chiant au niveau du temps nécessaire pour vérifier le password au démarrage... quasiment 1min et c'est pas un bug donc ce ne sera pas corrigé.

Ce temps supplémentaire est désactivable, mais réintroduit des faiblesses de TC. C'est dans la doc.

Avatar de Ricard INpactien
Avatar de RicardRicard- 24/11/15 à 16:41:33

Signaler ce commentaire aux modérateurs :

Aces a écrit :

Tu sais VC à la même interface que TC, tout pareil.
j'ai un pote qui est était sous TC et il n'arrêtait pas d'avoir des messages de Win8.1 qui lui disait de passer sous bitlocker et un matin je suis passé chez lui et je lui ai installé VC et depuis, il est content comme tout. :)

j'oubliais de préciser que je n'utilise pas Windows.

Édité par Ricard le 24/11/2015 à 16:41
Avatar de La Loutre INpactien
Avatar de La LoutreLa Loutre- 24/11/15 à 16:43:26

Signaler ce commentaire aux modérateurs :

Ah oui ceci explique cela. :)
Je ne savais pas. :)

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 24/11/15 à 16:55:44

Signaler ce commentaire aux modérateurs :

Obidoub a écrit :

Par contre Veracrypt est chiant au niveau du temps nécessaire pour vérifier le password au démarrage... quasiment 1min et c'est pas un bug donc ce ne sera pas corrigé.

Bejarid a écrit :

Ce temps supplémentaire est désactivable, mais réintroduit des faiblesses de TC. C'est dans la doc.

Pouvez-vous en dire plus sur la raison technique de cette temporisation/durée ?
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 5