Initié à l’automne 2013, suspendu en mai 2014 et relancé en février 2015, l’audit du logiciel de chiffrement de disque TrueCrypt a fait l’objet d’un rapport (phase 2). Les consultants de Cryptography Services (NCC Group) ont assuré une cryptanalyse de la version originale de TrueCrypt 7.1a, qui sert de base à de nouveaux forks. Ils n’ont repéré ni porte dérobée (backdoor), ni faille fatale.
Quatre vulnérabilités ont tout de même été découvertes. La plus sérieuse permettrait l’utilisation d’une interface Windows pour générer des nombres aléatoires utilisés par les clés de chiffrement. La faille, qui doit être colmatée, serait exploitable dans des circonstances « extrêmement rares », par exemple en compromettant l’ordinateur exécutant le programme de cryptographie. Malgré tout, la sécurité renforcée promise aux utilisateurs de TrueCrypt ne serait pas fondamentalement menacée.
L’un des initiateurs de l’audit, le cryptologue Matthew Green, se félicite de ces résultats. « Sur la base de cet audit, TrueCrypt semble être un logiciel de cryptographie relativement bien conçu. L’audit de NCC n’a révélé aucune porte dérobée délibérée, ou de graves défauts de conception qui exposeraient le logiciel au danger dans la plupart des cas », souligne-t-il dans un billet de blog. Le professeur à l’université Johns Hopkins (Maryland) a ajouté que le départ de développeurs du projet après une annonce sur la vulnérabilité de l’outil, l’an dernier, a été un choc pour ceux qui comptent sur le chiffrement de disque pour protéger leurs données. « Avec un peu de chance d’autres prendront le relais », a-t-il confié. Et ce en s’appuyant sur la version 7.1a de TrueCrypt considérée comme fiable par ses promoteurs.
Lire aussi :
TrueCrypt baisse le rideau sur le chiffrement des données
Espionnage de la NSA : les 8 leçons d’Edward Snowden
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…