Depuis la semaine dernière, les spécialistes en sécurité informatique sont dans l'expectative. Alors qu'il s'agissait du logiciel open source le plus réputé pour créer facilement un espace de stockage chiffré, TrueCrypt ne serait finalement pas sûr. En effet, un message d'avertissement est apparu sur la page du projet, indiquant que le programme "pourrait contenir des problèmes de sécurité non corrigés".
Suite à cette mise en garde, les commentaires ont été nombreux pour tenter d'éclaircir la situation. Est-ce une tentative de FUD visant à dissuader les usagers de se servir de TrueCrypt pour protéger leurs données ? Est-ce la NSA qui aurait trouvé un moyen de remettre en cause la sûreté du programme (Edward Snowden conseillait ce logiciel, ce qui a pu inciter l'agence à agir) ? Des pressions ont-elles été exercées ?
La perplexité qui a saisi de nombreux observateurs suite à la publication de ce message a été d'autant plus grande que l'alerte a été accompagnée d'une recommandation étonnante : alors que TrueCrypt est un logiciel open source, il a été conseillé de basculer sur BitLocker, une solution propriétaire de Microsoft, alors même que le géant des logiciels est critiqué pour sa proximité avec la NSA.
Il paraît improbable en l'état actuel des choses que la découverte d'une vulnérabilité critique dans TrueCrypt ait pu décourager les développeurs, au point d'abandonner le développement du logiciel. A priori, il semble que ce coup d'arrêt ait été provoqué par un élément extérieur, car jusqu'à présent aucune preuve de porte dérobée n'a été détectée dans le code source de TrueCrypt 7.1.
La question désormais qui se pose est la suivante : faut-il continuer à utiliser TrueCrypt 7.1 ou bien basculer sur une solution alternative ? Aux yeux de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), il convient de considérer que le support du programme a effectivement été "abandonné" même si "l'authenticité de l'annonce soit encore incertaine".
Bien que l'ANSSI a délivré à TrueCrypt 6.0a et 7.1a une certification de sécurité de premier niveau, le service gouvernemental en charge de la sécurité informatique conseille de regarder du côté des solutions alternatives qui ont été qualifiées ou sont "en cours de qualification". Cinq propositions ont été retenues, chacune "offrant des fonctions semblables" à TrueCrypt, selon l'agence :
- Cryhod ;
- Zed ! ;
- ZoneCentral ;
- Security Box ;
- StormShield.
Rappelons que si le statut de TrueCrypt est incertain, l'audit de sécurité se poursuit. Après l'analyse du code source, qui n'a rien révélé d'anormal, la prochaine phase consiste à effectuer cryptanalyse formelle pour valider la robustesse de la solution pour chiffrer des données.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.