Accueil » Des failles trouvées dans TrueCrypt, mais le mystère demeure
High-Tech

Des failles trouvées dans TrueCrypt, mais le mystère demeure

Même si deux failles ont été trouvées dans le code source de TrueCrypt, elles ne sont pas d’une importance telle qu’elles justifiaient d’abandonner subitement l’outil de chiffrement de disques durs virtuels, dans des conditions aussi étranges qu’absurdes.


Mais pourquoi diable les développeurs anonymes du logiciel de chiffrement open-source TrueCrypt ont-ils soudainement claqué la porte en mai 2014, en conseillant à tout le monde de se réfugier vers une solution Microsoft propriétaire, car TrueCrypt ne serait plus sûr ? Si l’on en croit les documents dévoilés par le lanceur d’alerte Edward Snowden, la NSA avait pourtant toutes les peines du monde à déchiffrer les messages encodés avec l’outil, réputé très robuste. Et plusieurs audits du source n’avaient rien trouvé de suspect.

Un an et demi plus tard, le mystère reste entier. Et ce n’est pas la découverte de deux failles par un chercheur du Project Zero de Google (consacré à la découverte de failles de sécurité) qui va changer la donne. Le chercheur en sécurité James Forshaw a en effet trouvé deux failles dans le code de Truecrypt, mais en dégonflant aussitôt l’importance de sa découverte sur Twitter. Il parle de “bugs” involontaires et prévient qu’il ne s’agit pas de “backdoors”.

Even though my #truecrypt bugs weren’t back doors it’s clear that it was possible to sneak them past an audit ????
— James Forshaw (@tiraniddo) 28 Septembre 2015

To clarify my last tweet, not saying the bugs were intentionally added. Just that no matter how much you audit bugs can still sneak through.
— James Forshaw (@tiraniddo) 28 Septembre 2015

Le chercheur avait communiqué ses découvertes à la société française Idrix qui édite VeraCrypt, un logiciel qui reprend le code source de TrueCrypt pour en faire un fork plus robuste encore.

#VeraCrypt 1.15 is out. Fix #TrueCrypt vulnerabilities CVE-2015-7358 & CVE-2015-7359 reported by @tiraniddo. Details on release notes.
[email protected] (@VeraCrypt_IDRIX) 26 Septembre 2015

Les deux failles, CVE-2015-7358 et CVE-2015-7359, sont tout de même évaluées comme “critiques”. Elles permettent une escalade de privilèges pour obtenir des droits d’administrateur.

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien T.

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

8 User(s) Online Join Server
  • juju
  • BananeM63
  • Frédéric | OuiHeberg.com
  • Anthonio_Loucass
  • UlysseLeGenie
  • Leon Hartstrife
  • Zack Loire
  • Shyroneki

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 948 autres abonnés.

2 - Entrer votre adresse email :

Tester votre débit

Acheter moins cher avec i-Comparateur

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :