Mésaventure pour VeraCrypt : l’audit de sécurité, nouvelle cible des hackers ?

Le 1er août dernier, The Open Source Technology Improvement Fund (OSTIF) annonçait qu’il allait faire auditer VeraCrypt, le logiciel de chiffrement de disque basé sur TrueCrypt 7.1a et versé en Open Source par Idrix. L’initiative visait à vérifier l’intégrité d’un des logiciels de chiffrement les plus populaires auprès des activistes, journalistes et autres utilisateurs qui tiennent à protéger leurs échanges numériques. L’OSTIF a confié cette mission à QuaksLab, chargé de scruter le code et d’y détecter les éventuelles vulnérabilités.

Face à la sensibilité de cette mission, l’organisme chargé de développer et optimiser des solutions Open Source dédiées à la protection de l’information, les développeurs de VeraCrypt et les experts de QuarksLabs avaient sécurisé leurs échanges en chiffrant les e-mails à l’aide de PGP (Pretty Good Privacy), le célèbre logiciel de chiffrement cryptographique. Jusqu’ici, rien que de très normal. Mais les choses ont très rapidement pris une tournure inattendue. Samedi 13 août, l’OSTIF a reconnu que des e-mails entre les deux parties avaient été interceptés. Et s’étaient même volatilisés !

4 e-mails volatilisés

« Un total de quatre messages électroniques, provenant de plusieurs expéditeurs différents, ont disparu sans laisser de trace, explique l’OSTIF. Non seulement les e-mails ne sont pas arrivés, mais il n’y en a aucune trace dans nos dossiers d’envoi. » Comme si les messages n’avaient jamais existé. Et l’organisation Open Source de préciser qu’elle utilise la version Google Apps Entreprise de Gmail. « Ceci suggère que des acteurs extérieurs tentent d’écouter et/ou interférer avec le processus d’audit », conclut l’OSTIF. On s’en serait douté à moins.

Les courriels en question contenaient des échanges sur les vulnérabilités, la production des rapports et autres informations confidentielles sur l’audit. Sans pouvoir, ou vouloir, avancer de noms, l’OSTIF a néanmoins sa petite idée sur le profil des auteurs de ce vol de haut niveau. « Si les États-nations s’intéressent à ce que nous faisons, c’est que nous devons bien le faire, non ? », glisse l’OSTIF. Pour l’organisation, la nature et la sophistication de l’opération semblent désigner une organisation gouvernementale disposant de moyens conséquents et pouvant être motivée par des questions de stratégie politique et/ou industrielle. Autant dire que les organisations répondant à cette description sont nombreuses. A commencer par la très célèbre NSA américaine.

On peut néanmoins s’étonner que les pirates en question aient laissé une trace de leur passage en faisait disparaître purement et simplement les messages détournés. Une menace à peine voilée ? Dans tous les cas, l’OSTIF annonce qu’il va poursuivre ses travaux avec QuarksLab sur VeraCrypt. « Nous mettons en place d’autres moyens de communication chiffrée afin de poursuivre le projet de vérification », assure l’organisation. Laquelle espérait rendre public son rapport d’audit pour la mi-septembre. Il reste à vérifier que le détournement des e-mails ne remettra pas en cause cette volonté de transparence.

Lire également

DuckDuckGo offre 225 000 dollars à 9 projets Open Source
TrueCrypt finalement mieux sécurisé que prévu
Chiffrement : comment échapper à la curiosité de la NSA

Crédit photo : GlebStock / Shutterstock