TrueCrypt : le logiciel de chiffrement reste sous protection rapprochée

La deuxième phase d’audit du logiciel de chiffrement open source TrueCrypt a pris du retard, mais elle débutera bien dans les prochaines semaines.

C’est l’un des principaux enseignements à retenir de la contribution blog publiée ce 18 février par Matthew Green, le chercheur en sécurité informatique à l’origine du projet lancé en 2013 et financé à hauteur d’environ 70 000 dollars dans le cadre d’une campagne de crowdfunding sur Indiegogo.

Centrée sur des éléments potentiellement vulnérables comme le chargeur d’amorçage (bootloader) et les pilotes natifs pour Windows, la première phase d’étude s’était conclue à la mi-avril 2014. Elle avait révélé onze failles (dont quatre d’un niveau de sévérité moyen, pouvant notamment exposer des données)… et remis en cause la qualité globale du logiciel, le code ne répondant pas à certains standards : manque de commentaires, utilisation de fonction obsolètes, variables contradictoires, etc.

Cet audit – synthétisé dans un document PDF de 32 pages – devait se poursuivre avec une analyse cryptographique. Mais un événement a coupé cet élan : le 28 mai 2014, on apprenait que le développement de TrueCrypt allait être arrêté, dans des circonstances floues.

La décision aurait été motivée par la fin du support de Windows XP, « dernier OS populaire sans outil de chiffrement intégré », selon l’annonce publiée à l’époque. L’équipe de développeurs – anonymes – à l’origine de TrueCrypt recommandait d’ailleurs aux utilisateurs de Windows Vista, 7 et 8.x de se rabattre sur l’outil BitLocker pour chiffrer leurs disques physiques et virtuels.

Une situation d’autant plus paradoxale qu’une mise à jour (la première depuis deux ans, avec le passage en version 7.2) venait d’être publiée… et qu’elle avait tout de légitime au premier abord, car signée avec une clé appartenant aux développeurs.

Les tests dans des machines virtuelles et l’analyse du code source avaient toutefois démontré qu’un logiciel malveillant se cachait dans cette nouvelle mouture de TrueCrypt et que le chiffrement était tout simplement inopérant. Quant à la page officielle du projet sur SourceForge, elle affichait une note d’avertissement : « Il est déconseillé d’utiliser TrueCrypt, qui peut abriter des failles de sécurité non comblées ». Un internaute avait à plusieurs reprises tenté d’intégrer ce message dans l’article Wikipedia relatif à TrueCrypt. Mais ses tentatives avaient été avortées par des modérateurs.

Des questions sans réponse

Dans ce contexte d’incertitude, les hypothèses se sont multipliées. Les développeurs n’étaient-ils plus en mesure d’assurer les mises à jour ? Avaient-ils subi une attaque informatique ? Quelqu’un les avait-il priés d’arrêter leur projet ? La piste du gouvernement américain a été évoquée, TrueCrypt étant l’un des outils qui donnait le plus de fil à retordre à la NSA, selon des documents divulgués par le lanceur d’alertes Edward Snowden.

Cette suspension subite du projet a entraîné une remise en question chez les équipes chargées de l’audit du logiciel. Ne valait-il pas mieux allouer les fonds récoltés à un ou plusieurs des dérivés de TrueCrypt, comme CipherShed et VeraCrypt ? Et opter pour un audit communautaire, plus économique que de faire appel à des experts en sécurité informatique ?

« Il a fallu recourir à un plan B« , explique Matthew Green. Celui-ci est aujourd’hui en cours d’exécution. Un contrat a été signé voici quelques semaines avec la société de consultants NCC Group, basée au Manchester Technology Center (Royaume-Uni).

L’audit cryptographique s’effectuera sur TrueCrypt 7.1a, qui constitue la base de CipherShed et VeraCrypt. Il portera entre autres sur le mécanisme de chiffrement symétrique et le générateur de nombres aléatoires. Pas d’échéance définie pour le lancement officiel : les équipes de Matthew Green se donnent le temps de définir précisément le budget… et éventuellement de récolter encore des fonds.

Crédit photo : Olivier Le Moal – Shutterstock.com