Pour le principal développeur de l'outil de sécurité VeraCrypt, le chiffrement fort doit être protégé et financé. Pour nous, il revient sur la conception de son successeur à TrueCrypt, les difficultés de construire une communauté et les évolutions du logiciel à venir.
Six mois après la dernière version, c'est aujourd'hui qu'est sorti VeraCrypt 1.18. Comme nous l'expliquions, l'outil de chiffrement de disque supporte désormais les ordinateurs avec UEFI, ajoute des algorithmes et corrige quelques failles importantes. Une version majeure, qui est d'ores et déjà auditée par les Français de QuarksLab pour confirmer sa fiabilité.
Il s'agit de deux pas importants pour le logiciel, successeur affiché de TrueCrypt et développé par le français Mounir Idrassi depuis la mi-2013. La prochaine grande étape est d'amener le logiciel vers les entreprises et les cartes à puce. D'un côté, ce mouvement doit permettre à Idrassi de consacrer plus de temps au logiciel, développé jusqu'ici sur son temps libre. De l'autre, il doit lui permettre de le lier à son expertise historique, les cartes à puces, développée à l'époque où il travaillait chez Oberthur Cards Systems, de 2000 à 2006, après ses études à Polytechnique.
Il a depuis fondé sa société Idrix, spécialisée dans la sécurité, via laquelle il s'est penché sur TrueCrypt. « Je m'y suis vraiment intéressé en 2012, quand un client m'a demandé de le regarder plus près. C'est là que j'ai eu la possibilité d'analyser le code et de m'intéresser au chiffrement » nous explique le développeur, qui décrit son implication sur VeraCrypt comme un long apprentissage.
Dans l'immédiat, le principal enjeu est de construire une communauté de développeurs autour du logiciel. Les volontaires sont rares, et ceux capables de travailler sur un outil aussi complexe d'autant plus. Il doit ainsi trouver des partenaires capables de l'accompagner dans l'évolution du logiciel vers un modèle plus professionnel, alors que des politiques affichent ouvertement leur hostilité face au chiffrement fort.
De la fin de TrueCrypt à l'explosion de VeraCrypt
En 2013, après un audit « minimaliste » de TrueCrypt, Mounir Idrassi remarque des faiblesses dans sa conception et décide de les combler. Il veut aussi promouvoir un développement ouvert, en opposition à celui de l'original, très opaque. VeraCrypt est né. Un an plus tard, à la mi-2014, quand l'équipe l'originale arrête brutalement le développement, son fork gagne soudain en importance, à la fois pour les internautes et son développeur.
« Mon implication est devenue beaucoup plus profonde, j'ai passé beaucoup plus de temps dessus. Il y avait beaucoup plus de retours. Le projet est devenu bien plus sérieux, avec une feuille de route plus claire, des fonctions de plus en plus développées et la correction des failles découvertes dans TrueCrypt au fil des audits » se remémore Mounir Idrassi.
La disparition de TrueCrypt avait été un choc à l'époque. Le site officiel recommandait de ne plus utiliser le logiciel, et de se tourner vers Bitlocker de Microsoft. Un événement improbable pour un logiciel open source de cette envergure. « Quand j'ai vu ce message, je l'ai pris comme ironique. Pour moi, les développeurs nous disaient de prendre notre destin en main, sur la base qu'ils ont laissée. Cela m'a encouragé dans le fait de reprendre la flamme et de continuer » affirme le père de VeraCrypt.
Les mystères éclaircis de TrueCrypt
Depuis, il s'est avéré que le FBI a eu un rôle important dans cette fin, ayant sûrement modifié le site à sa fermeture. En parallèle, le nom du trafiquant de drogue Paul Le Roux, versé dans le développement, a été largement associé à E4M (Encryption For The Masses) et TrueCrypt. Ce dernier aurait d'abord été développé pour protéger les activités de ses initiateurs.
« L'histoire de Paul Le Roux explique beaucoup de choses. Le code source de TrueCrypt était énorme. La quantité de travail demandée pour produire un logiciel d'une telle stabilité, sur plusieurs plateformes, ne correspondait pas à un projet open source standard. C'était professionnel » estime Mounir Idrassi, qui voyait les signes d'un travail similaire à celui d'une entreprise, avec plusieurs concepteurs. « Il y avait l'argent et la motivation de cacher des données » poursuit-il.
« La base de TrueCrypt est impossible à réécrire. Pour écrire de zéro un logiciel avec la même stabilité, je pense qu'il faut au moins deux millions d'euros » conclut-il. Si VeraCrypt a corrigé les failles connues du logiciel, son développeur affirme que produire de zéro un équivalent serait impossible actuellement.
Un projet personnel chronophage, des soutiens peu nombreux
Actuellement, le développement de l'outil occupe en moyenne dix heures par semaine pour Mounir Idrassi. Un projet personnel important, qui réserve ses surprises. Le lancement de la version 1.18 censé intervenir le week-end dernier a été finalement repoussé à ce mercredi, la correction des derniers problèmes demandant du temps. L'opération est coûteuse en temps, notamment sur le support, le développeur recevant des centaines de messages par semaine.
S'il reçoit aussi des dons, ils pourraient à peine couvrir une journée de travail par mois, estime-t-il. Il rit d'ailleurs (un peu) jaune lorsque nous évoquons le précédent OpenSSL, utilisé par une grande part des entreprises du numérique, mais peu maintenu car peu financé. La perspective d'arrêter un jour VeraCrypt ne l'inquiète pas outre-mesure, le code étant ouvert à tous. Ainsi, même s'il venait à décider de passer à autre chose, d'autres pourraient prendre sa suite, comme il l'a fait avec TrueCrypt.
La possibilité d'un financement participatif existe bien pour VeraCrypt, mais elle n'est pas encore privilégiée. L'enjeu concret est plutôt de trouver des développeurs à même de le soutenir dans son travail. Si certains interviennent parfois pour des soucis mineurs sur Linux ou macOS, il est « compliqué » d'obtenir un soutien constant. En témoigne l'historique des commits sur Codeplex.
Pour Idrassi, le soutien du développeur russe Alex Kolotnikov sur le cryptage chiffrement UEFI, qui l'a mobilisé plusieurs mois, est la première contribution importante au projet par un tiers, le reste étant plutôt « dérisoire ». Précédemment, Idrassi a bloqué plus d'un an sur des problématiques techniques liés à UEFI et Windows, qu'il ne pouvait dépasser seul. « C'est le seul [soutien] avec un profil professionnel et sur Windows. Il y a un manque flagrant d'experts techniques Windows qui puissent aider le projet. C'est là où est la demande » ajoute-t-il.
La version 1.18, avec des algorithmes de chiffrement venus du Japon et de la Russie, ainsi que son audit, devraient amener plus de développeurs, espère-t-il. La confiance est un élément central de son discours, avec l'idée qu'il faut montrer que le projet est développé en France, avec une portée mondiale.
Le débat politique ne doit pas affaiblir le chiffrement
Malgré son implication dans le chiffrement, Idrassi affirme prêter peu d'importance aux débats politiques actuels sur la question. Celui qui se voit « comme un fabricant de serrures » se pose peu de questions sur l'usage final de son outil. « Il y aura toujours quelqu'un pour détourner les technologies à des fins non-pacifiques ou criminelles, alors que 99 % l'utilisent avec de bonnes intentions. C'est un besoin universel » estime-t-il.
Surtout, il bat en brèche les demandes du gouvernement d'introduire des portes dérobées dans de tel outils. Pour le développeur, affaiblir le chiffrement aurait des conséquences économiques directes et décrire les backdoors comme une solution viable pour une meilleure sécurité serait simplement un non-sens :
« Dès que l'on introduit une porte dérobée pour un gouvernement, on se rend compte que d'autres la trouvent. Il faut comprendre que les attaques sont devenues d'une intelligence incroyable. Il y a des outils d'analyse dynamique des données du système, qui peuvent détecter ce type d'élément précis. On ne peut pas cacher de porte, de clé secrète. Les systèmes qui n'acceptent magiquement qu'une personne n'existent pas. »
Comme l'ANSSI, l'agence en charge de la sécurité informatique de l'État, il plaide pour une meilleure utilisation des moyens d'investigation numérique. Les deux affirment que toucher au chiffrement serait une grande erreur. « Il ne protège pas quand on mène des activités illégales. On laisse toujours des traces, via les métadonnées. Développer une technologie pour gérer les métadonnées sera plus bénéfique que de détruire les bases du chiffrement » affirme Mounir Idrassi.
Donner un nouvel élan à VeraCrypt
Malgré le contexte, le développeur semble aujourd'hui prêt à explorer une autre piste pour assurer l'avenir de l'outil : professionnaliser son activité. S'il travaille majoritairement pour les clients de sa société Idrix actuellement, mêler son activité à VeraCrypt est une possibilité concrète. Le biais : l'intégration du support des cartes à puces et de fonctions pour entreprises dans le logiciel. Selon le développeur, la demande est d'ores et déjà forte pour une telle solution, surtout en open source, avec un support dédié.
L'usage des cartes à puce pour contrôler l'accès physique aux PC en entreprise est répandu. VeraCrypt est même utilisable via des interfaces (PKCS 11) avec ces objets, mais la méthode est loin d'être satisfaisante, estime le développeur. Pour les sociétés, l'intérêt serait surtout de disposer d'une solution au code ouvert, alors que les logiciels de chiffrement de disque commerciaux (comme Bitlocker de Microsoft) sont certes fonctionnels, mais opaques.
Il travaille déjà avec d'autres sociétés pour faire évoluer le logiciel dans ce sens. Pour lui, la France « a un rôle à jouer » sur la scène mondiale de la sécurité, y compris via ses géants de la carte à puce. « Il faut penser au moment où le logiciel sera encore plus utilisé, j'ai déjà des demandes d'entreprises qui veulent intégrer VeraCrypt mais ont besoin de support, de services commerciaux... Le problème est de trouver des personnes et partenaires qui puissent aider à la transition, tout en préservant la nature ouverte du projet » anticipe le développeur.
Reste maintenant à passer ce cap. Les mois à venir seront sans doute décisifs pour VeraCrypt et son développeur, et la position de la France en la matière aura sans doute une influence, au moins indirecte. De quel côté nous situerons-nous ? De celui de ceux qui veulent disposer d'outils de chiffrement forts pour assurer la sécurité des données de chacun – et notamment des entreprises – ou de celui qui préfèrent chercher à affaiblir tout un écosystème ? La question est posée.
