Chiffrement : l’institut Fraunhofer donne son feu vert à TrueCrypt, malgré des faiblesses

Deux audits, des résultats similaires 46
En bref
image dediée
Crédits : prill/iStock
Sécurité
Vincent Hermann

Un long rapport allemand proclame que la sécurité de TrueCrypt est en fait meilleure que ce que l’on pouvait penser. Elle n’est pas parfaite, mais les failles détectées sont mineures. En outre, les soucis repérés sont du même acabit que ceux que l’on trouve habituellement dans des solutions équivalentes, TrueCrypt n’étant jugé « ni meilleur ni pire ».

Il est nécessaire de retracer la chronologie des évènements autour de TrueCrypt pour mieux comprendre les résultats du rapport allemand. Le logiciel de chiffrement était l’une des références dans ce domaine sous Windows. Il permettait de chiffrer les informations de lecteurs entiers ou de dossiers plus ciblés. Ses développeurs n’ont jamais été identifiés. Quand ils annoncent en mai 2014 qu’ils arrêtent de s’occuper de TrueCrypt, c'est un coup de tonnerre.

La décision n’était accompagnée d’aucune explication. Mais un avertissement a très rapidement résonné : les auteurs prévenaient que le logiciel pouvait contenir des failles de sécurité non corrigées. Le conseil était très simple, chiffrer l’intégralité du disque dur avec BitLocker de Microsoft, ce qui n’a pas manqué de faire soulever bon nombre de sourcils. Un audit de sécurité complet était pourtant en cours, financé d’ailleurs de manière participative.

Un audit rassurant, puis deux failles de sécurité

Peu de temps après, les conclusions de l’audit apparaissent : il n’y a pas d’urgence à se débarrasser de TrueCrypt car le code du logiciel ne présente ni porte dérobée (la plus grande crainte) ni de failles de sécurité majeures. La société Cryptography Services, engagée pour mener à bien l’examen, indiquait tout de même que des zones d’amélioration avaient été identifiées, notamment le recours à une API Windows considérée comme obsolète. D’autres soucis avaient été soulignés, comme dans le déchiffrement des en-têtes ou dans les implémentations d’AES, mais rien de vraiment dramatique.

Le mois dernier, coup de théâtre. Le chercheur James Forshaw, travaillant chez Google sur le Project Zero, montre que deux failles de sécurité sont présentes dans TrueCrypt, dont une critique. Une découverte qui ne contredit pourtant pas directement les résultats du premier audit. La principale vulnérabilité ne concernait en effet pas le chiffrement lui-même, mais une fonctionnalité sous Windows qui pouvait être exploitée pour entrainer une élévation locale des privilèges. Exploitée correctement, elle aurait permis à un pirate de provoquer l’installation d’un ou plusieurs malwares. Il s’agissait donc bel et bien d’un vrai problème de sécurité, mais le cœur de TrueCrypt n’était pas remis en cause. Dans la foulée, le « fork » VeraCrypt, qui avait repris les sources de TrueCrypt, avait cependant été mis à jour, les développeurs ayant été avertis par Forshaw en amont.

L'institut Fraunhofer confirme les résultats du premier audit

Désormais, c’est à l’Allemagne de confirmer qu’il n’y a en l’état pas grand-chose à craindre de TrueCrypt. Un important rapport a été remis le 16 novembre par le Bureau fédéral de la sécurité des informations. Sur son blog, le responsable de cet audit, le professeur Eric Bodden de l’institut Fraunhofer, explique que l’examen a duré plus de six mois et qu’il a été réalisé à la demande du gouvernement allemand.

Et l’audit est assez clair : en dépit de quelques lacunes, l’institut Fraunhofer donne son feu vert à TrueCrypt. Traduction, il n’y a pas d’urgence à changer rapidement de solution de chiffrement, même si l’absence d’entretien du code est évidemment un problème. Il ne faut pas oublier cependant que les découvertes réalisées sur TrueCrypt peuvent être récupérées par les forks, dont VeraCrypt. Ce dernier a d’ailleurs réagi sur son compte Twitter pour indiquer que le nouvel audit va dans le sens du premier et que les faiblesses qui ont été soulignées ne se retrouvent pas dans le nouveau logiciel.

Le rapport de Fraunhofer va quand même un peu plus loin, affirmant que TrueCrypt est fait plus sécurisé que ce que les précédents rapports pouvaient suggérer. Eric Bodden indique ainsi : « je dirais que le code de TrueCrypt est probablement très bien en grande majorité. Les failles que nous avons découvertes sont mineures et des failles similaires peuvent toujours être trouvées dans les autres implémentations des fonctions cryptographiques. En ce sens, TrueCrypt n’est ni meilleur ni pire que ses alternatives ».

TrueCrypt contient des faiblesses et ne peut pas résister à certains malwares

Pour autant, les processus utilisés ne sont pas optimaux. On retrouve ainsi plusieurs points soulignés par le premier audit, notamment une implémentation d’AES qui ne protège pas contre les attaques temporelles, des clés de chiffrement qui pourraient être utilisées de manière plus sécurisée et des en-têtes de volumes qui devraient être mieux protégés. Par ailleurs, et il s’agit d’un point important, TrueCrypt est surtout efficace pour chiffrer du contenu local et n’est pas conçu pour résister à des attaques actives du type keyloggers (enregistreurs de frappe) et d’autres types de malwares. Il ne peut s’interfacer avec des puces TPM ou d’autres solutions matérielles de sécurité.

L’audit rassurera bien sûr l’ensemble des utilisateurs de TrueCrypt qui pouvaient encore ressentir une certaine urgence à migrer vers une autre solution. VeraCrypt se pose en champion de la reprise, mais d’autres critères peuvent intervenir en milieu professionnel. Aussi, s’il n’y a pas d’urgence, le conseil reste de réfléchir à un remplaçant car si des failles de sécurité devaient être trouvées plus tard, elles ne pourraient pas être corrigées. Évidemment, avec deux audits complets du code déclarant qu’il n’existe pas de faille majeure dans le chiffrement, l’urgence est moindre.


chargement
Chargement des commentaires...