Lancé à la suite des révélations d'Edward Snowden sur la NSA, l'audit du logiciel de chiffrement TrueCrypt s'était interrompu après un message de ses développeurs l'accusant d'être vulnérable. La première partie de l'audit n'avait trouvé aucun souci particulier dans le code source. Après un long flottement, la deuxième partie de l'audit est finalement engagée.

À l'automne 2013, une campagne de financement participatif a été lancée afin de mener l'audit de TrueCrypt, qui est un très célèbre logiciel de chiffrement de disque. Lancé par Matthew Green (un professeur en cryptographie), Marcia Hoffman (une avocate spécialisée dans la technologie) et Kenneth White (un spécialiste en sécurité informatique), le projet a obtenu plus de 46 000 dollars.

Après plusieurs mois de travail, une première phase dans l'analyse a été menée à bien avec la publication d'un rapport le 15 avril 2014.

La vérification du code source, qui a été confiée à la société iSec, n'a pas permis de déceler une altération du programme. En somme, TrueCrypt n'est priori pas vicié et peut être utilisé avec une confiance raisonnable, dans la mesure où aucune porte dérobée n'a été repérée, même si des faiblesses au niveau de la programmation ont été soulignées à certains endroits.

Un mois plus tard, coup de théâtre : l'équipe anonyme en charge du développement du logiciel a publié un message d'avertissement sur le site officiel. Ces derniers affirment que la nouvelle version de TrueCrypt "n'est pas sûre" et livrent un conseil étonnant : il faudrait, d'après eux, utiliser BitLocker, la solution propriétaire (et donc qui ne peut pas être contrôlée) de Microsoft.

À la suite de cet évènement, le projet Open Crypto Audit s'est retrouvé sur la sellette.

Fallait-il enclencher la seconde phase de l'audit, portant cette fois sur une cryptanalyse formelle des fonctions de chiffrement du programme afin de découvrir d'éventuelles erreurs dans leurs implémentations, alors que les développeurs de TrueCrypt pointaient la vulnérabilité de leur logiciel ? Ou était-il préférable de soutenir des projets alternatifs dérivés de TrueCrypt, comme CipherShed ?

Cette hésitation a paralysé le projet Open Crypto Audit pendant de longs mois, du fait des sommes importantes qui avaient été récoltées avec le financement participatif. Celle-ci ayant été lancée à la suite des révélations d'Edward Snowden sur les activités de la NSA, Matthew Green, Marcia Hoffman et Kenneth White voulaient ne pas gaspiller l'argent des internautes en faisant le mauvais choix.

Finalement, une décision a été prise : le projet Open Crypto Audit poursuit son travail sur TrueCrypt. La seconde phase s'engage donc, avec un partenariat établi avec l'entreprise NCC Group North America. L'analyse se fera sur la version 7.1a de TrueCrypt, qui sert de point de départ aux autres alternatives. Ainsi, la cryptanalyse devrait profiter indirectement aux autres projets.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.