Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

TrueCrypt – Mais que se passe-t-il exactement ?

Edit: Si vous cherchez des alternatives compatibles avec TrueCrypt

Mais que se passe-t-il avec TrueCrypt ?

Depuis quelques minutes, le site TrueCrypt.org qui héberge le célèbre logiciel de chiffrement, redirige vers une page sur Sourceforge indiquant qu’utiliser TrueCrypt n’est plus fiable, car il contient des failles de sécurité et que le développement est arrêté.

A la place, le site préconise, tutoriel à l’appui, d’utiliser BitLocker sous Windows, ou le chiffrement natif d’OSX.

Capture d’écran 2014-05-28 à 22.49.31

Ouille ouille ouille ! D’ailleurs, des experts en conspiration ont remarqué que le fameux « ..TrueCrypt is Not Secure As… », ça faisait « TrueCrypt is N… S… A… ». Message caché ou gros délire ? Mystère et boule de gomme…

Si on regarde plus en détails, on voit aussi que toutes les versions antérieures à la 7.2 de TrueCrypt ont été retirées du site. Seule persiste une mystérieuse version 7.2 mise à jour il y a quelques heures.

Alors que faire ? Comment interpréter cette annonce mystérieuse ? 

En attendant d’avoir plus d’infos, voici ce que je peux vous dire :

  1. La version de TrueCrypt 7.2 proposée sur le site est signée avec une clé officielle (apparemment ancienne) utilisée par l’équipe de dev.
  2. Le serveur sur lequel est hébergée la page est bien celui de Sourceforge. Pas de détournement de DNS donc.
  3. Personne de l’équipe officielle de TrueCrypt ne s’est prononcé.

Maintenant, comme beaucoup, je trouve cette annonce très louche pour tout un tas de raisons.

  • Cette page web semble avoir été faite à l’arrache comme s’il s’agissait d’un piratage.
  • Abandonner un logiciel open source pour recommander un logiciel propriétaire comme BitLocker (Appartenant à Microsoft), c’est ultra louche (et risible).
  • Faire disparaitre toutes traces des versions précédentes de TrueCrypt, c’est encore plus louche.
  • Zigouiller le code source comme le montre ce diff, c’est vraiment étrange. Certains après avoir analysé le code disent même que cette version n’est plus capable de chiffrer. Seulement de déchiffrer…
  • Mettre à dispo une seule version, mise à jour il y a à peine 3h… hmm…
  • Déclarer que TrueCrypt n’est plus fiable sans proposer de correctif, ce n’est vraiment pas logique.

Tout ceci pue. Mon embrouillomètre est à son maximum…

4 possibilités pour expliquer ça :

  1. Les développeurs de TrueCrypt viennent de prendre le rail de coke de trop et ont lâché les freins.
  2. Les développeurs de TrueCrypt ont découvert la présence d’une faille tellement énorme qu’elle compromet tous les conteneurs crées avec le soft. Ils préfèrent alors saborder le bateau plutôt que de faire face.
  3. Un pirate s’est emparé de tous les accès à Sourceforge, a rédigé des tutos, a récupéré les clés de signature des binaires et a modifié le code source de TrueCrypt pour distribuer une version possiblement vérolée. Il se serait vraiment donné du mal pour rendre tout cela à peu prêt crédible… Un hack très élaboré en somme.
  4. Un tribunal secret américain vient d’interdire TrueCrypt, ordonnant la mise en ligne d’une version backdoorée, tout en interdisant aux développeurs officiels de s’exprimer sur le sujet et de poursuivre leurs développements. Ils n’ont eu d’autre choix que de faire « n’importe quoi » pour avertir les gens.

Perso, je repense à ce qui s’est passé avec Lavabit et je penche donc pour l’option 4 même si les options 2 et 3 semble les plus rationnelles. On prend les paris ?

Franchement, j’aimerai vous dire que la situation va s’arranger, mais pour le moment, c’est trop tôt pour se prononcer. Attendons que la situation s’éclaircisse. Tout ce que je peux vous recommander c’est, pour le moment :

  • De ne surtout pas télécharger et installer cette version TrueCrypt 7.2
  • De ne pas migrer sur BitLocker ou une autre des solutions propriétaires « NSA compliant » recommandées par cette page
  • De respirer un grand coup et de ne rien faire.

Les sources de TrueCrypt se baladent un peu partout sur la toile, donc même s’il s’avère que le développement de ce formidable logiciel s’arrête, d’autres reprendront probablement le flambeau.

Du coup, vous pouvez vous détendre, prendre un petit seau de popcorn et regarder la toile s’agiter en attendant que toute cette histoire soit tirée au clair. J’éditerai cet article en temps voulu s’il y a des nouveautés.

Bonne soirée


Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite