TrueCrypt : chiffrera, chiffrera pas ?
Imbroglio autour du logiciel open source de chiffrement à la volée, dont le développement aurait été arrêté dans des circonstances floues.
Que va-t-il advenir de TrueCrypt ?
Ce 28 mai, on apprenait que le développement de ce logiciel de chiffrement à la volée (utilisé notamment par le lanceur d’alertes Edward Snowden) allait être arrêté. L’URL du site officiel redirige désormais vers la page Web du projet sur SourceForge, où figure le message d’avertissement suivant : « ATTENTION : il est déconseillé d’utiliser TrueCrypt, qui peut abriter des failles de sécurité non comblées« .
Cette décision aurait été motivée par la fin du support de Windows XP, « dernier OS populaire sans outil de chiffrement intégré ». L’équipe de développeurs – anonymes – à l’origine de TrueCrypt recommande aux utilisateurs de Windows Vista, 7 et 8.x de se rabattre sur l’outil BitLocker pour chiffrer leurs disques physiques et virtuels. Une deuxième page est dédiée à la fonction native d’OS X et aux différentes solutions disponibles pour Linux.
Mais alors que la première mise à jour de TrueCrypt depuis près de deux ans vient justement d’être publiée en date du 28 mai (passage en version 7.2), la situation semble paradoxale. D’autant plus que cette nouvelle mouture, distribuée via SourceForge sous la forme d’un exécutable Windows, a tout de légitime au premier abord : elle est bien signée avec une clé appartenant aux développeurs.
Mais elle réserve des surprises : en menant des tests dans une machine virtuelle sous Windows 8.1, The Register s’est rendu compte que l’application était bloquée par l’outil de protection SmartScreen, alertant de l’éventuelle présence d’un logiciel malveillant. Sur les versions antérieures de l’OS de Microsoft, elle se lance bien, mais affiche le même message d’avertissement que sur le site. Et surtout, en analysant le code source, on s’aperçoit que le chiffrement est tout simplement inopérant…
Ce mercredi, la situation s’est également envenimée sur Wikipedia. Un utilisateur enregistré sous le pseudo « Truecrypt-end » a tenté à plusieurs reprises d’intégrer le même message d’alerte dans l’article relatif à TrueCrypt. Chacune de ses tentatives a été avortée par des modérateurs.
En analysant les notes de version, on ne détecte aucune évolution suspecte entre la version précédente (7.1a, sortie en 2012) et cette nouvelle mouture 7.2. Les développeurs ne sont-ils plus en mesure d’assurer les mises à jour ? Ont-ils subi une attaque informatique ? Quelqu’un les a-t-il prié d’arrêter leur projet ? Ce dernier scénario fait sens au regard d’épisodes similaires intervenus par le passé. Illustration avec la fermeture subite de Lavabit.
Le 8 août 2013, ce service de messagerie sécurisée – qui aurait été utilisé par Edward Snowden pour dévoiler le programme PRISM – avait mis la clé sous la porte. Ses fondateurs refusaient de collaborer avec les autorités américaines, qui leur demandaient d’installer du « matériel de surveillance » dans leur système d’information. A quelques jours d’intervalle, l’éditeur américain Silent Circle avait, pour les mêmes motifs, mis un terme à son service d’e-mail chiffré. Des décisions saluées par les organisations de défense des libertés numériques.
Quant bien même cette piste en lien avec la NSA n’est pas à exclure, d’autres scénarios sont envisageables. Notamment celui d’un audit infructueux du code de l’application. Lancée par des experts en sécurité, cette campagne a été financée à l’automne dernier sur la plate-forme de crowdfunding Indiegogo. Conclue à la mi-avril, la première phase d’examen avait révélé onze vulnérabilités, mais aucune ne remettait en cause la qualité du logiciel.
La seconde phase était imminente. Elle impliquait une analyse cryptographique. Les porteurs du projet espéraient « annoncer une grande nouvelle » dès cette semaine. L’un d’entre eux, dénommé Kenn White, se dit surpris par la tournure des événements. Penchant pour un sabordage volontaire de la part des développeurs de TrueCrypt, il promet de tenir la communauté au courant de l’évolution du dossier.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit illustration : Photobank gallery – Shutterstock.com