Accueil » Des failles trouvées dans TrueCrypt, mais le mystère demeure
High-Tech

Des failles trouvées dans TrueCrypt, mais le mystère demeure

Même si deux failles ont été trouvées dans le code source de TrueCrypt, elles ne sont pas d’une importance telle qu’elles justifiaient d’abandonner subitement l’outil de chiffrement de disques durs virtuels, dans des conditions aussi étranges qu’absurdes.


Mais pourquoi diable les développeurs anonymes du logiciel de chiffrement open-source TrueCrypt ont-ils soudainement claqué la porte en mai 2014, en conseillant à tout le monde de se réfugier vers une solution Microsoft propriétaire, car TrueCrypt ne serait plus sûr ? Si l’on en croit les documents dévoilés par le lanceur d’alerte Edward Snowden, la NSA avait pourtant toutes les peines du monde à déchiffrer les messages encodés avec l’outil, réputé très robuste. Et plusieurs audits du source n’avaient rien trouvé de suspect.

Un an et demi plus tard, le mystère reste entier. Et ce n’est pas la découverte de deux failles par un chercheur du Project Zero de Google (consacré à la découverte de failles de sécurité) qui va changer la donne. Le chercheur en sécurité James Forshaw a en effet trouvé deux failles dans le code de Truecrypt, mais en dégonflant aussitôt l’importance de sa découverte sur Twitter. Il parle de “bugs” involontaires et prévient qu’il ne s’agit pas de “backdoors”.

Even though my #truecrypt bugs weren’t back doors it’s clear that it was possible to sneak them past an audit ????
— James Forshaw (@tiraniddo) 28 Septembre 2015

To clarify my last tweet, not saying the bugs were intentionally added. Just that no matter how much you audit bugs can still sneak through.
— James Forshaw (@tiraniddo) 28 Septembre 2015

Le chercheur avait communiqué ses découvertes à la société française Idrix qui édite VeraCrypt, un logiciel qui reprend le code source de TrueCrypt pour en faire un fork plus robuste encore.

#VeraCrypt 1.15 is out. Fix #TrueCrypt vulnerabilities CVE-2015-7358 & CVE-2015-7359 reported by @tiraniddo. Details on release notes.
[email protected] (@VeraCrypt_IDRIX) 26 Septembre 2015

Les deux failles, CVE-2015-7358 et CVE-2015-7359, sont tout de même évaluées comme “critiques”. Elles permettent une escalade de privilèges pour obtenir des droits d’administrateur.

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Ce site est hébergé avec ❤ par

Heberge par Ikoula

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

8 User(s) Online Join Server
  • Marlon29
  • guigui
  • MɘᴙYll
  • Zack Loire
  • Frédéric | OuiHeberg.com
  • 🧸翼🧸
  • WartraxX (Sébastien T)
  • Leon Hartstrife

✉️ Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 1300 autres abonnés.

2 - Entrer votre adresse email :

Vous affirmez avoir pris connaissance de notre Politique de confidentialité. Vous pouvez vous désinscrire à tout moment à l'aide des liens de désinscription ou en nous contactant via le formulaire de contact

Tester votre débit

Acheter moins cher avec i-Comparateur

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :