Tiens, j’ai une petite question pour vous.

A votre avis, après tout ce déballage sur la NSA auquel nous avons eu le droit ces dernières semaines, croyez-vous que le célèbre logiciel de chiffrement TrueCrypt contient une backdoor ?

A ce sujet, il faut savoir qu’une campagne de financement participatif a été lancée il y a peu de temps afin d’auditer TrueCrypt de manière sérieuse (et un peu plus en profondeur que ce qu’a fait l’ANSSI)

C’est effectivement une importante question que tout le monde se pose. Bon, les sources de TrueCrypt sont disponibles et seront probablement auditées de manière sérieuse, mais les binaires (pour Windows) présents sur le site, contiennent-ils une porte dérobée ?

C’est à cette question qu’a voulu répondre le Français Xavier de Carné de Carnavalet. Pour cela, il a pris le temps de recréer entièrement l’environnement de compilation utilisé par l’équipe de TrueCrypt pour compiler lui-même et à l’identique les sources de la version 7.1a et ainsi comparer les 2 binaires grâces à un éditeur hexadécimal.

Et le résultat est plutôt rassurant. Oui, il existe des différences entre les binaires, mais elles sont tellement minimes (des histoires de timestamp…etc.) qu’il ne peut s’agir d’une backdoor. Donc si on part du principe que le compilateur utilisé n’ajoute pas de porte dérobée, on peut en conclure que TrueCrypt est clean.

D’après les tests supplémentaires effectués sur les versions précédentes de TrueCrypt, c’est tout aussi clean.

Reste plus qu’a réellement auditer le code source maintenant. Pour lire la passionnante analyse de Xavier, c’est par ici que ça se passe.