TrueCrypt n'est-il pas sécurisé maintenant et dois-je arrêter de l'utiliser?

À ce stade, ce n'est pas encore clair. La spéculation est rampante quant à savoir s'il s'agit d'une dégradation ou d'une retraite officielle.

Cela dit, il convient de noter que la dernière version de TrueCrypt (avant la version 7.2 qui est maintenant publiée) a plus de deux ans. De plus, aucun effort apparent n'a été fait pour prendre en charge le chiffrement du disque entier sur Windows 8, qui est encore plus ancien que TrueCrypt 7.1a si vous comptez dans les versions préliminaires publiquement disponibles de la première.

De nombreux utilisateurs de Windows 8 qui s'appuyaient auparavant sur TrueCrypt sont probablement déjà migrés vers Bitlocker pour le chiffrement du disque entier, donc déplacer le reste de leurs données protégées par TrueCrypt (s'ils ne l'ont pas déjà fait) est une étape logique de toute façon. Pour quelqu'un d'autre, il serait probablement préférable d'attendre que tout ce gâchis soit nettoyé.

La première phase de audit TrueCrypt , couvrant le chargeur de démarrage et les pilotes du noyau Windows, a révélé moins d'une douzaine de vulnérabilités - les pires d'entre elles étant classées comme étant de gravité "Moyenne". Le rapport a également déclaré que le code source "ne répondait pas aux normes attendues pour le code sécurisé".

L'une de leurs recommandations mentionnait:

En raison de normes de qualité laxistes, la source TrueCrypt est difficile à examiner et à maintenir. Cela rendra les bugs futurs plus difficiles à trouver et à corriger.

Une autre note disait:

L'environnement de build Windows actuellement requis dépend d'outils de build obsolètes et de packages logiciels difficiles à obtenir à partir de sources fiables.

Tout cela, avec le délai de deux ans dans les nouvelles versions et le manque de prise en charge complète des derniers systèmes d'exploitation, donne à croire facilement que l'équipe de TrueCrypt pourrait effectivement jeter l'éponge. S'ils décidaient de le faire, TrueCrypt deviendrait en fait peu sûr de la même manière que Windows XP l'est maintenant - toutes les failles de sécurité récemment découvertes ne seraient pas corrigées. Une différence clé entre TrueCrypt et Windows XP cependant, est que des alternatives compatibles peuvent toujours être développées et mises à jour car TrueCrypt est un logiciel open source.

Pourtant, l'annonce très soudaine et inattendue mérite certainement un certain scepticisme. Jusqu'à ce que la nouvelle soit validée, je suggère que vous ne fassiez confiance à rien publié sur le site Web de TrueCrypt ou la page SourceForge - en particulier pas le nouveau téléchargement "7.2".

Mise à jour: 2014-05-29 0645Z

Brian Krebs a signalé sur la question, et a donné un bon raisonnement pour expliquer pourquoi ce n'est probablement pas un canular. De plus, il mentionne que les personnes derrière IsTrueCryptAuditedYet.com continueront leur travail malgré l'état actuel du projet logiciel.

Bien sûr, la spéculation continue de sévir en ligne. Cependant, bien que l'anonymat continu de l'équipe de développement TrueCrypt rende presque impossible toute confirmation indéniablement authentique de leur statut. Matthew Green a fait une juste remarque dans ce Tweet cependant:

Mais plus précisément, si la clé de signature Truecrypt a été volée et que les développeurs TC ne peuvent pas nous le faire savoir - c'est une raison suffisante pour être prudent.

Vraiment, quel que soit le statut de la clé de signature en particulier, le fait que les développeurs TrueCrypt ne puissent pas (ou du moins jusqu'à présent ne semblent même pas avoir fait d'efforts pour) émettre une communication distincte et faisant autorité pour valider ce qui est arrivé à leur site Web devrait être assez pour soulever des préoccupations importantes. Si l'équipe TrueCrypt l'appelle, il est temps de passer à autre chose et de trouver/faire des alternatives. Sinon, leur manque de réponse hors bande à cet incident soulève de sérieuses questions (plus que jamais) quant à savoir à quel point nous pouvons vraiment leur faire confiance pour maintenir le type de logiciel auquel nous voulons faire confiance avec nos secrets les plus précieux.

Quel que soit le statut, il est probablement préférable de rechercher des solutions alternatives. Les recommandations sur le site TrueCrypt ne sont pas mauvaises en général. Cependant, ils sont loin de quelques fonctionnalités pour lesquelles TrueCrypt était connu et apprécié:

• Compatibilité multiplateforme
• Déni plausible
• Cloisons cachées
• Fichiers conteneurs chiffrés (vous pouvez le faire avec Bitlocker et les disques durs virtuels, mais ce n'est pas aussi fluide et transparent qu'avec TrueCrypt)

Mise à jour: 29/05/2014 1450Z

Jack Daniel a très bien résumé mes sentiments sur le sujet maintenant, dans un Tweet récent :

Donc, oui: hack, troll, ragequit, peu importe - le silence signifie que l'organisation TrueCrypt ne peut pas être approuvée, pas plus que TrueCrypt. Zut.

Mise à jour: 2014-05-30 1545Z

GRC a publié des déclarations selon lesquelles les développeurs de TrueCrypt ont été entendus, via Steven Barnhart.

https://www.grc.com/misc/truecrypt/truecrypt.htm

Si la source peut être crue (encore une fois, l'anonymat public de l'équipe de développement TrueCrypt rend une certaine authentification presque impossible), alors TrueCrypt n'est en effet plus activement travaillé par l'équipe d'origine. De plus, la licence empêche quiconque d'être légitimement autorisé à écrire un nouveau "TrueCrypt" (bien qu'il soit possible qu'ils puissent le bifurquer sous un nom différent).

Une chose importante à noter, bien que GRC soit peut-être un peu trop dramatique à ce sujet et puisse même surestimer sa valeur, est que la dernière version entièrement fonctionnelle de TrueCrypt (7.1a) est - à la connaissance du public - toujours "sûr" à utiliser. Jusqu'à ce que des vulnérabilités importantes et exploitables soient découvertes, il n'y a vraiment aucune raison de considérer 7.1a comme intrinsèquement plus "dangereux" au moment de l'annonce de truecrypt.org qu'il ne l'était à aucun moment auparavant.

Cela dit, il faut également garder à l'esprit (comme indiqué précédemment dans cet article) que les vulnérabilités découvertes dans TrueCrypt 7.1a ne seront pas corrigées dans les futures versions. Ainsi, il est toujours sage de commencer à chercher d'autres alternatives. Il en va de même ici comme pour Windows XP - la seule différence substantielle étant que XP a un profil beaucoup plus élevé et s'accumulera très probablement très longtemps). liste des vulnérabilités non patchables (certaines existent probablement déjà) beaucoup plus rapidement.

Le Open Crypto Audit Project a tweeté un lien vers une "archive de confiance" des versions de TrueCrypt pour ceux qui recherchent des copies plus anciennes qui ne sont plus disponibles sur truecrypt.org:

https://github.com/DrWhax/truecrypt-archive

Merci à @ Xander pour avoir signalé l'article GRC.