Le code du logiciel de chiffrement a été passé en revue par la société suisse Kudelski Security en mai. Les résultats sont bons : aucune défaillance critique n’a été trouvée. Les soucis de sécurité ont été classés comme suit : un moyen et deux bas. Les suggestions de Kudelski ont par ailleurs déjà été intégrées, indique Boxcryptor.
La société explique dans son billet récapitulatif qu’elle avait été toujours hésitante à se lancer dans un audit, « gênée » par l’idée que l’opération ne se fasse finalement que sur un instantané du code. Mais après 9 ans d’existence, elle a finalement estimé qu’il était temps de faire un point.
Boxcryptor revient sur plusieurs aspects intéressants de la sécurité au sens large, notamment le processus de révision du code. Elle rappelle qu’un code open source, même s’il augmente la résilience générale du produit, n’est en rien une garantie de sécurité.
De même, qu’un audit soit couronné de succès n’est valable finalement que pour la version en cours. Il ne saurait garantir, lui non plus, que les développeurs apporteront le même soin aux ajouts suivants.
L’audit a cependant été l’occasion de faire un point complet sur l’état du code après neuf ans sans enquête réalisée par un tiers. Et si Boxcryptor ne le dit pas, d’autres s’en chargeront : l’audit apporte un important gain de crédit et peut ouvrir des portes fermées jusque-là.
