L’audit de TrueCrypt ne décèle pas de backdoor délibérée

Initié à l’automne 2013, suspendu en mai 2014 et relancé en février 2015, l’audit du logiciel de chiffrement de disque TrueCrypt a fait l’objet d’un rapport (phase 2). Les consultants de Cryptography Services (NCC Group) ont assuré une cryptanalyse de la version originale de TrueCrypt 7.1a, qui sert de base à de nouveaux forks. Ils n’ont repéré ni porte dérobée (backdoor), ni faille fatale.

Quatre vulnérabilités ont tout de même été découvertes. La plus sérieuse permettrait l’utilisation d’une interface Windows pour générer des nombres aléatoires utilisés par les clés de chiffrement. La faille, qui doit être colmatée, serait exploitable dans des circonstances « extrêmement rares », par exemple en compromettant l’ordinateur exécutant le programme de cryptographie. Malgré tout, la sécurité renforcée promise aux utilisateurs de TrueCrypt ne serait pas fondamentalement menacée.

D’autres développeurs pour TrueCrypt

L’un des initiateurs de l’audit, le cryptologue Matthew Green, se félicite de ces résultats. « Sur la base de cet audit, TrueCrypt semble être un logiciel de cryptographie relativement bien conçu. L’audit de NCC n’a révélé aucune porte dérobée délibérée, ou de graves défauts de conception qui exposeraient le logiciel au danger dans la plupart des cas », souligne-t-il dans un billet de blog. Le professeur à l’université Johns Hopkins (Maryland) a ajouté que le départ de développeurs du projet après une annonce sur la vulnérabilité de l’outil, l’an dernier, a été un choc pour ceux qui comptent sur le chiffrement de disque pour protéger leurs données. « Avec un peu de chance d’autres prendront le relais », a-t-il confié. Et ce en s’appuyant sur la version 7.1a de TrueCrypt considérée comme fiable par ses promoteurs.