Initié à l’automne 2013, suspendu en mai 2014 et relancé en février 2015, l’audit du logiciel de chiffrement de disque TrueCrypt a fait l’objet d’un rapport (phase 2). Les consultants de Cryptography Services (NCC Group) ont assuré une cryptanalyse de la version originale de TrueCrypt 7.1a, qui sert de base à de nouveaux forks. Ils n’ont repéré ni porte dérobée (backdoor), ni faille fatale.
Quatre vulnérabilités ont tout de même été découvertes. La plus sérieuse permettrait l’utilisation d’une interface Windows pour générer des nombres aléatoires utilisés par les clés de chiffrement. La faille, qui doit être colmatée, serait exploitable dans des circonstances « extrêmement rares », par exemple en compromettant l’ordinateur exécutant le programme de cryptographie. Malgré tout, la sécurité renforcée promise aux utilisateurs de TrueCrypt ne serait pas fondamentalement menacée.
L’un des initiateurs de l’audit, le cryptologue Matthew Green, se félicite de ces résultats. « Sur la base de cet audit, TrueCrypt semble être un logiciel de cryptographie relativement bien conçu. L’audit de NCC n’a révélé aucune porte dérobée délibérée, ou de graves défauts de conception qui exposeraient le logiciel au danger dans la plupart des cas », souligne-t-il dans un billet de blog. Le professeur à l’université Johns Hopkins (Maryland) a ajouté que le départ de développeurs du projet après une annonce sur la vulnérabilité de l’outil, l’an dernier, a été un choc pour ceux qui comptent sur le chiffrement de disque pour protéger leurs données. « Avec un peu de chance d’autres prendront le relais », a-t-il confié. Et ce en s’appuyant sur la version 7.1a de TrueCrypt considérée comme fiable par ses promoteurs.
Lire aussi :
TrueCrypt baisse le rideau sur le chiffrement des données
Espionnage de la NSA : les 8 leçons d’Edward Snowden
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.