Accueil » TrueCrypt : le nouvel audit ne trouve toujours rien. Qu’en penser ?
High-Tech

TrueCrypt : le nouvel audit ne trouve toujours rien. Qu’en penser ?

Un an après le retrait incompréhensible de TrueCrypt, le logiciel open-source et ses créateurs conservent leurs mystères. Le second audit de sécurité réalisé n’a toujours rien découvert d’anormal dans le code source. 

Pouvez-vous réinstaller TrueCrypt en toute confiance ? En mai 2014, un mois après un premier audit indépendant qui avait pourtant conclu qu’il n’y avait aucune faille à signaler, l’équipe anonyme du très réputé logiciel de chiffrement de volumes de fichiers avait décidé de mettre fin au projet dans des circonstances extrêmement brutales et totalement incohérentes. Tout en affirmant sans explications que TrueCrypt n’était plus sûr, les développeurs conseillaient urgemment une solution propriétaire Microsoft en remplacement du logiciel open-source. 

Depuis les rumeurs courent bon train sur les raisons d’un tel revirement. Ont-ils réellement découvert une faille impossible à corriger, ont-ils été piratés, ou ont-ils subi d’insurmontables pressions de la part des Etats-Unis pour discréditer un logiciel en réalité très efficace ? Ce dernier scénario a pris de l’ampleur en fin d’année dernière lorsque des documents révélés par Edward Snowden ont montré que la NSA avait des “difficultés majeures” à déchiffrer le contenu protégé par TrueCrypt. 

Pour tenter d’en avoir le coeur net, un nouvel audit a été commandé à NCC Group North America. Et le résultat publié jeudi est sensiblement identique. “L’audit de NCC n’a permis de découvrir aucune preuve de backdoors délibérés, ni aucune malfaçon sévère dans la conception qui rendrait le logiciel peu sûr dans la plupart des situations“.

Seule une faille a été découverte, exploitable “dans quelques circonstances extrêmement rares“,  dans la manière de générer les nombres “au hasard” nécessaires à la sécurisation des clés cryptographiques. Parmi les divers éléments combinés ensemble dans la version de TrueCrypt pour Windows figure des valeurs fournies par l’API Cryptography de Microsoft qui peut ne pas se lancer correctement, sans que l’erreur renvoyée soit correctement analysée par TrueCrypt. Mais le problème se déclenche excessivement rarement, et ne retire qu’une des composantes de génération du nombre aléatoire (qui compte aussi par exemple les mouvements de la souris ou les frappes au clavier).

En bref, il n’y a encore rien à signaler. Mais peut-on tout de même faire confiance à TrueCrypt, et/ou pourra-t-on faire davantage confiance à son héritier désigné, CypherShed ?

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien T.

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

20 User(s) Online Join Server
  • Xekos
  • ScreaX21
  • Agentrouge
  • Anthonio_Loucass
  • Ben Tillon
  • 𝕂𝕝𝕖𝕣𝕧𝕚 𝕊𝕖𝕧𝕖𝕟
  • Leon Hartstrife
  • Dymøn'.
  • UlysseLeGenie

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 948 autres abonnés.

2 - Entrer votre adresse email :

Tester votre débit

Acheter moins cher avec i-Comparateur

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :