Si vous cherchez une solution pour chiffrer vos données sur le disque dur, TrueCrypt est un choix qu'il faut désormais considérer. En effet, le programme vient de faire l'objet d'un audit mené par la société iSec afin de déterminer si son code source contenait une porte dérobée (backdoor) ou des instructions potentiellement nuisibles à son fonctionnement ou à la confidentialité des données.
Pas de preuve de backdoor ou de code malicieux
La conclusion de l'audit indique qu'il n'y a "aucune preuve de porte dérobée ou code malicieux intentionnel dans les zones [du code] évaluées". Pour autant, ce n'est pas parce que l'audit n'a rien trouvé qu'il n'y a effectivement rien. D'ailleurs, des "failles mineures" ont été repérées, mais elles sont décrites comme des bugs "involontaires" plutôt que des manœuvres visant à corrompre TrueCrypt.
Interrogé par Ars Technica sur les résultats de l'audit, le professeur de cryptographie Matthew D. Green de l'université Johns-Hopkins a estimé que la "qualité du code n'est pas aussi élevée qu'elle devrait être, mais que d'un autre côté il n'y a rien de catastrophique, ce qui est rassurant".
Le code source de TrueCrypt est accessible à tous pour contre-expertise, tout comme l'audit qui été conduit par iSec.
Après l'étude du code, la cryptanalyse
Le contrôle du code source n'est toutefois qu'une étape dans la vérification de TrueCrypt. Comme l'indique le site dédié, il y a une seconde phase qui consiste cette fois à effectuer une cryptanalyse formelle. Il s'agit basiquement de tester la robustesse du chiffrement mis en oeuvre par le logiciel et, le cas échéant, dans quelles conditions celle-ci peut être remise en cause.
Ceux à l'origine de l'audit de TrueCrypt rappellent qu'aucune cryptanalyse complète n'a été effectuée sur TrueCrypt. Or, dans un contexte de surveillance généralisée, ce type d'initiative est plus que jamais souhaitable, d'autant que la NSA ne prend pas de gant pour casser des systèmes de chiffrement (cf le programme Bullrun).
La certification de l'ANSSI
Rappelons en outre que les versions 6.0a et 7.1a ont obtenu la certification de sécurité de premier niveau délivrée par l'ANSSI. Celle-ci "permet d’attester que le produit a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par l’ANSSI", notamment en analysant "la conformité du produit à ses spécifications de sécurité" et en mesurant "l’efficacité des fonctions de sécurité".
Bruce Schneier, qui fait autorité en matière de sécurité informatique, a salué l'achèvement de la phase 1 et salué à sa façon les conclusions de l'audit, en annonçant qu'il allait continuer à utiliser TrueCrypt.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.