TrueCrypt - Mais que se passe-t-il exactement ?

par Korben -

Edit: Si vous cherchez des alternatives compatibles avec TrueCrypt

Mais que se passe-t-il avec TrueCrypt ?

Depuis quelques minutes, le site TrueCrypt.org qui héberge le célèbre logiciel de chiffrement, redirige vers une page sur Sourceforge indiquant qu’utiliser TrueCrypt n’est plus fiable, car il contient des failles de sécurité et que le développement est arrêté.

A la place, le site préconise, tutoriel à l’appui, d’utiliser BitLocker sous Windows, ou le chiffrement natif d’OSX.

Ouille ouille ouille ! D’ailleurs, des experts en conspiration ont remarqué que le fameux “..TrueCrypt is Not Secure As…”, ça faisait “TrueCrypt is N… S… A…”. Message caché ou gros délire ? Mystère et boule de gomme…

Si on regarde plus en détails, on voit aussi que toutes les versions antérieures à la 7.2 de TrueCrypt ont été retirées du site. Seule persiste une mystérieuse version 7.2 mise à jour il y a quelques heures.

Alors que faire ? Comment interpréter cette annonce mystérieuse ?

En attendant d’avoir plus d’infos, voici ce que je peux vous dire :

  1. La version de TrueCrypt 7.2 proposée sur le site est signée avec une clé officielle (apparemment ancienne) utilisée par l’équipe de dev.
  2. Le serveur sur lequel est hébergée la page est bien celui de Sourceforge. Pas de détournement de DNS donc.
  3. Personne de l’équipe officielle de TrueCrypt ne s’est prononcé.

Maintenant, comme beaucoup, je trouve cette annonce très louche pour tout un tas de raisons.

  • Cette page web semble avoir été faite à l’arrache comme s’il s’agissait d’un piratage.
  • Abandonner un logiciel open source pour recommander un logiciel propriétaire comme BitLocker (Appartenant à Microsoft), c’est ultra louche (et risible).
  • Faire disparaitre toutes traces des versions précédentes de TrueCrypt, c’est encore plus louche.
  • Zigouiller le code source comme le montre ce diff, c’est vraiment étrange. Certains après avoir analysé le code disent même que cette version n’est plus capable de chiffrer. Seulement de déchiffrer…
  • Mettre à dispo une seule version, mise à jour il y a à peine 3h… hmm…
  • Déclarer que TrueCrypt n’est plus fiable sans proposer de correctif, ce n’est vraiment pas logique.

Tout ceci pue. Mon embrouillomètre est à son maximum…

4 possibilités pour expliquer ça :

  1. Les développeurs de TrueCrypt viennent de prendre le rail de coke de trop et ont lâché les freins.
  2. Les développeurs de TrueCrypt ont découvert la présence d’une faille tellement énorme qu’elle compromet tous les conteneurs crées avec le soft. Ils préfèrent alors saborder le bateau plutôt que de faire face.
  3. Un pirate s’est emparé de tous les accès à Sourceforge, a rédigé des tutos, a récupéré les clés de signature des binaires et a modifié le code source de TrueCrypt pour distribuer une version possiblement vérolée. Il se serait vraiment donné du mal pour rendre tout cela à peu prêt crédible… Un hack très élaboré en somme.
  4. Un tribunal secret américain vient d’interdire TrueCrypt, ordonnant la mise en ligne d’une version backdoorée, tout en interdisant aux développeurs officiels de s’exprimer sur le sujet et de poursuivre leurs développements. Ils n’ont eu d’autre choix que de faire “n’importe quoi” pour avertir les gens.

Perso, je repense à ce qui s’est passé avec Lavabit et je penche donc pour l’option 4 même si les options 2 et 3 semble les plus rationnelles. On prend les paris ?

Franchement, j’aimerai vous dire que la situation va s’arranger, mais pour le moment, c’est trop tôt pour se prononcer. Attendons que la situation s’éclaircisse. Tout ce que je peux vous recommander c’est, pour le moment :

  • De ne surtout pas télécharger et installer cette version TrueCrypt 7.2
  • De ne pas migrer sur BitLocker ou une autre des solutions propriétaires “NSA compliant” recommandées par cette page
  • De respirer un grand coup et de ne rien faire.

Les sources de TrueCrypt se baladent un peu partout sur la toile, donc même s’il s’avère que le développement de ce formidable logiciel s’arrête, d’autres reprendront probablement le flambeau.

Du coup, vous pouvez vous détendre, prendre un petit seau de popcorn et regarder la toile s’agiter en attendant que toute cette histoire soit tirée au clair. J’éditerai cet article en temps voulu s’il y a des nouveautés.

Bonne soirée

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus