C'est une petite bombe dans le monde de la cryptographie. Alors qu'il est considéré comme un outil de référence pour chiffrer des données, et alors que les premiers résultats d'un audit communiqués le mois dernier ont rassuré sur l'absence de backdoors, le logiciel TrueCrypt ne serait finalement pas sûr.
Depuis mercredi, le site du logiciel hébergé par Sourceforge affiche un message d'avertissement en lettres rouge : "ATTENTION : Utiliser TrueCrypt n'est pas sécurisé puisqu'il pourrait contenir des problèmes de sécurité non corrigés". Le message qui n'est accompagné d'aucune explication détaillée sur l'éventuelle faille ajoute que le site officiel n'existe plus que pour expliquer aux utilisateurs comment migrer les données chiffrées avec TrueCrypt vers d'autres solutions de cryptographie.
Microsoft en curieux recours
"Le développement de TrueCrypt s'est arrêté en mai 2014 après que Microsoft a arrêté le support de Windows XP", explique la page web. "Windows 8/7/Vista et supérieurs proposent le support intégré des disques et images virtuelles de disques chiffrés. De tels supports intégrés sont aussi disponibles sur d'autres plateformes. Vous devriez faire migrer toute donnée chiffrée avec TrueCrypt vers des disques ou images virtuelles de disques chiffrés supportés sur votre plateforme".
La page web de TrueCrypt conseille ainsi d'utiliser le système BitLocker de Microsoft, ce qui est surprenant tant les révélations d'Edward Snowden (qui conseillait TrueCrypt) sur les pratiques de la NSA ont ravivé les inquiétudes sur les liens incestueux entre l'agence de renseignement et les entreprises américaines, en particulier dans les algorithmes de cryptographie. De plus contrairement à TrueCrypt, le code source de BitLocker n'est pas disponible, ce qui permet d'autant moins de lui faire confiance.
L'annonce de la fin de TrueCrypt est un tel choc que la communauté semble douter de l'authenticité du message. Mais une nouvelle version 7.2 de TrueCrypt, qui ne permet plus que de déchiffrer les données pour effectuer leur migration, a bien été publiée sur Sourceforge avec la signature utilisée par les développeurs.
Les développeurs de TrueCrypt étant anonymes, il sera très difficile d'en savoir davantage. Le cryptographe Matthew Green, qui participe au programme Open Crypto Audit mis en place pour analyser le code de TrueCrypt, a dit qu'il avait tenté de les contacter pour avoir des explications, mais sans grand espoir. Il soupçonne qu'ils aient pu subir des pressions et décider de fermer TrueCrypt :
I think it unlikely that an unknown hacker (a) identified the Truecrypt devs, (b) stole their signing key, (c) hacked their site.
— Matthew Green (@matthew_d_green) 28 Mai 2014
An alternative is that somebody was about to de-anonymize the Truecrypt devs and this is their response.
— Matthew Green (@matthew_d_green) 28 Mai 2014
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.