Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

TrueCrypt pour Windows contient deux failles, dont une critique

L'audit avait pourtant été clair

TrueCrypt pour Windows contient deux failles, dont une critique

Le 02 octobre 2015 à 13h30

En dépit d’un audit de sécurité dont les conclusions étaient limpides, la version Windows de TrueCrypt contient bien deux failles, dont une critique. Elles ont été découvertes par un chercheur en sécurité de chez Google, qui enjoint les utilisateurs à basculer sur une solution alternative.

TrueCrypt est une solution de chiffrement à la volée qui a été particulièrement utilisée sous Windows. En mai de l’année dernière, l’équipe de développement a annoncé brutalement que le logiciel ne serait plus entretenu. Il y avait eu plusieurs conséquences, notamment la création de projets tiers et open source en reprenant le code, ainsi qu’un audit de sécurité qui a nécessité plusieurs mois.

En dépit de son audit, TrueCrypt contient deux failles

Les conclusions de cet examen étaient très claires : le code de TrueCrypt présentait bien quelques problèmes, mais aucune faille majeure, ni surtout aucune porte dérobée. Les conclusions de Cryptography Services, engagée à cette occasion, sont désormais remises en cause. Le chercheur James Forshaw, dans le cadre du Project Zero de Google, a en effet découvert deux brèches de sécurité, dont une critique.

Ces deux failles ont déjà leurs bulletins CVE (CVE-2015-7358 et CVE-2015-7359) mais les détails sont pour l’instant inaccessibles. James Forshaw a en effet averti l’équipe de développement de VeraCrypt (fork open source de TrueCrypt) il y a environ deux semaines. VeraCrypt en avait informé ses utilisateurs par un tweet, indiquant qu’une version 1.15 serait prochainement mise à disposition. Une semaine plus tard, elle est effectivement sortie, et les notes de version indiquent clairement la correction des deux failles. Les détails devraient quant à eux être disponibles d'ici quelques jours.

Élévation de privilèges et installation de malwares

Au sujet de ces dernières, seule la première est considérée comme critique. Elle permet sous Windows une élévation locale des privilèges en détournant la gestion des lettres des lecteurs. Il faut savoir cependant que ces failles ne remettent pas en question la sécurité de TrueCrypt lui-même, et donc de son chiffrement. Cependant, leur association peut permettre l’installation de malwares disposant de tous les droits, qui auront ensuite à loisir d’effectuer leur sale besogne, y compris chercher à récupérer les clés de chiffrement.

Dans tous les cas, la découverte est gênante car elle invalide les conclusions de l’audit de sécurité, qui avait justement pour objectif de débusquer ce type de problème. Car si un chercheur a pu trouver deux failles de sécurité, rien ne permet d’affirmer qu’il s’agissait des seules à ne pas avoir été détectées. Le constat est d’autant plus problématique que l’audit indiquait également qu’il n’y avait pas de portes dérobées.

Une raison supplémentaire d'abandonner TrueCrypt

Ce point a d’ailleurs fait réagir le chercheur James Forshaw. Dans un tweet, il a indiqué qu’il ne pensait pas que ces bugs avaient été ajoutés intentionnellement. Par ailleurs, il estime qu’en dépit du sérieux d’un audit, des problèmes de ce type pourront toujours passer au travers des mailles du filet. Un point de vue compréhensif alimenté notamment par les caractéristiques de la faille critique, qui s’appuie en fait sur un pilote Windows. Or, ces pilotes sont selon Forshaw des « bêtes complexes » avec lesquelles l’erreur est vite arrivée.

La recommandation générale est quoi qu’il en soit d’abandonner TrueCrypt si ce n’est pas encore fait. On se souviendra d'ailleurs du message présent (encore aujourd'hui) sur la page de ce projet : « Utiliser TrueCrypt n'est pas sécurisé car il peut y avoir des failles de sécurité non corrigées ». Le conseil de l’équipe de développement du logiciel initial était, pour les utilisateurs de Windows, de passer à BitLocker. Mais ceux qui aimaient le produit et qui préfèrent se tourner vers un équivalent open source pourront télécharger VeraCrypt.

Commentaires (74)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En même temps, à part au moins une société du CAC40 qui utilise encore TrueCrypt ?

 

OH SHI-

votre avatar







linkin623 a écrit :



C’est clair que cette histoire est franchement bizarre… Le sentiment que j’ai c’est que tout le monde veut que les gens lâchent TrueCrypt.





En même temps, ce dernier ne reçoit plus de support. D’où l’audit ayant servit aux forks, qui eux sont maintenus.


votre avatar

TC utilisé chez nous pour chiffrer l’ensemble des disques sur postes nomades.



Notre objectif étant de bloquer l’accès au système (passwd au boot) et aux données en cas de perte/vol du matériel, cette faille nous importe peu.

votre avatar

Mort oui et non …les gens derrière truecrypt ont disparu …et personne s’en inquiète …

Je dis cela ,je ne dis rien tiens…

Et le open fork existe donc cela continue .

Après google , vu les gens qu’il peut toucher ,aurait pu faire un truc sur son réseau du net …



Mais bon ,ce qui me fait tiquer , c’est plus le fait de “cracher” sur un mort … maintenant alors qu’annoncer que les alternatives existent et réagissent aux failles trouver.

Je pense que le “Utiliser TrueCrypt n’est pas sécurisé car il peut y avoir des failles de sécurité non corrigées ” est de trop après l’épisode autour de truecrypt …j’entends.

Car, tout ceci a déjà était dit à l’époque .



On dirait plus un message pub pour veracrypt ou un moyen de pousser des gens sur un système certes “obsolète” mais moins “nsa friendly” cela se trouve ….

votre avatar

Qu’on le veuille ou non, TC n’étant plus maintenu, il va mourir, ne serait-ce par incompatibilité avec les API qui vont évolué (et pas que sur Windows). Il est donc indispensable de changer de crèmerie.

 

 Après, TC a fait ses preuves, donc utilisé un fork est clairement très intéressant. Et l’interet d’un fork, c’est que tu peux faire un différenciel entre l’original et le final, afin de voir quelles modifs ont été apporté.

 

 Jusqu’a présent, aucune modification apporté par VeraCrypt semblent destiné à réduire la sécurité du logiciel, c’est principalement de l’UI qui a été modifié, en plus de quelques bouchages de failles mineurs (celles-ci compris, mais ce n’est pas les seules, d’autres faiblessess révélées par l’audit ont aussi été bouché).

 

 Après y a d’autres forks si tu préfères. Ca reste de l’open source de toute façon…

votre avatar







Papa Panda a écrit :



Mort oui et non …les gens derrière truecrypt ont disparu …et personne s’en inquiète …







Etant donné qu’ils ont toujours tout fait pour être anonyme, comment peux tu savoir si ils ont réellement disparu ? Tu as trouvé leurs identités ?



Après le reste de ton poste j’ai du mal à voir ce que tu veux dire.


votre avatar

Impressionnant comme t’es à coté de la plaque :)

votre avatar

Pendant ce temps, à Vera Crypt…



<img data-src=" />

votre avatar

Franchement stop la parano quoi.



Le projet truecrypt est mort, ça c’est clair net et précis.

Les raisons du pourquoi sont floues, et on n’en saura jamais plus visiblement.

Avec ça il ne reste donc que deux choix:




  1. continuer avec truecrypt en l’état et accepter ses failles dont celle mentionnée ici si on est sous windows.



  2. s’orienter sur autre chose.

    Et forcément un fork openSource, est le plus logique si on était satisfait de truecrypt.





    Dans la news, il est mentionné qu’une faille a été trouvée sur truecrypt windows.

    Les forks sont donc prévenus vu qu’ils étaient concernés, et on corrigé la faille.

    Point final. Il est juste rappelé qu’elle ne sera donc forcément pas corrigée sur truecrypt contrairement à veracrypt.

    Je ne vois pas ou est la pub!

votre avatar

Mais comment font ils pour trouver des trucs comme ça??

&nbsp;

Respect <img data-src=" />

votre avatar

Je n’ai pas testé pour le pré-boot mais les volumes TrueCrypt sont totalement supportés. J’ai vu que la feature pré-boot était dispo, en tous cas, mais je n’ai pas vu si c’est supporté en mode TrueCrypt.

Rien n’empêche de déchiffrer temporairement le volume et de le rechiffrer aussitôt à la mode VeraCrypt (sans le mode de compatibilité TrueCrypt, en somme).



Je m’en sers pour crypter mes clés USB, parce que je les fais souvent tomber de ma poche alors qu’elles contiennent plein de trucs persos <img data-src=" />

votre avatar

“Tu bluffes, Martoni !”

votre avatar

Ah bah tiens, moi qui me demandait ce qu’était devenu cette histoire de TrueCrypt il y a pas longtemps, ça restera un sacré mystère. Néanmoins merci pour les info vis à vis du Fork VeraCrypt, je n’étais pas au courant…

&nbsp;

&nbsp;





spamator a écrit :



Mais comment font ils pour trouver des trucs comme ça??

&nbsp;

Respect <img data-src=" />





Je me demandais aussi, c’est fou le travail derrière, la recherche, etc.&nbsp;

Faut vraiment avoir la patience et la passion je présume… !&nbsp;


votre avatar

M’en fous, j’ai une Debian. <img data-src=" />

votre avatar







Ety a écrit :



Je me demandais aussi, c’est fou le travail derrière, la recherche, etc.&nbsp;

Faut vraiment avoir la patience et la passion je présume… !&nbsp;





Faut surtout être payé pour. <img data-src=" />


votre avatar

Super le fix de Veracrypt.. Les volumes sont montés DEUX FOIS <img data-src=" />

Revenir à la version précédente et pas de problèmes

&nbsp;

&nbsphttps://veracrypt.codeplex.com/discussions/645527

&nbsp;

votre avatar







Bejarid a écrit :



Euh… Commit = validé ?

 

 Ah ouais. Quand même. Respect.

 

 Je suis d’accord, la forme a de l’importance, quand on comprend pas du tout les termes anglais et qu’on associe n’importe quoi comme traduction, ça donne effectivement un discours assez drôle ! <img data-src=" />

 

 C’est aussi pour ça que j’aime bien, dans certains cas, garder les termes originaux. Ca a de multiples avantages, dont celui de vite voir ceux qui n’y connaissent pas grand chose, comme toi :)







Hey soit donc heureux, Patch t’as permis de te sentir intelligent. Dis lui au moins merci.


votre avatar

Oui, c’est ça, mais comme il essayait, je pense, de le dire, t’es pas tellement sensé monter une partition (même non système et simplement utilisé comme conteneur) étrangère.

&nbsp;

&nbsp;Après j’imagine que certains doivent le faire, sinon ça n’existerait pas dans truecrypt :p

votre avatar

Hum, bof, rectifier des problèmes basique de traduction n’est pas spécialement gratifiant comme job :/

votre avatar

Merci <img data-src=" />

votre avatar







eliumnick a écrit :



Hey soit donc heureux, Patch t’as permis de te sentir intelligent. Dis lui au moins merci.



Que veux-tu, c’est ca quand on une culture limitée, on est obligée de l’étaler à tout bout de champs…


votre avatar

ca fait longtemps que c’est affiché sur leur site.. perso on est sur bitlocker.

&nbsp;

&nbsp;

votre avatar

Une raison particulière d’avoir choisi BitLocker plutôt qu’un autre ?

votre avatar

Comment peux-tu être aussi catégorique ? Tu as accès au code source pour vérifier ? Rien ne dit que Microsoft n’a pas une clé maître ou a volontairement affaibli le chiffrement de Bitlocker. Rien ne dit le contraire non plus, c’est vrai, mais en l’absence d’un vrai audit de sécurité et de l’accès au code source, on ne pourra jamais en être certain.



ÉDIT : Microsoft aurait retiré le diffuseur Elephant (Elephant Diffuser) de BitLocker à partir de Windows 8, l’affaiblissant ainsi sans aucun raison valable.



Après, il faut relativiser : si le but est de se protéger des voisins, des voleurs et des concurrents (entreprises), BitLocker est amplement suffisant et, bien utilisé, devrait être un sérieux obstacle. Pour ne pas dire un obstacle infranchissable.



Si tu es Snowden ou que tu dois protéger des secrets d’état, là c’est autre chose…

votre avatar

Cela me fait bien rire.&nbsp;Une application qui permet de passer outre les mécanismes de sécurité Windows !! Ce n’est même pas indiqué sur quelle version de Windows. En tout cas Microsoft à certainement corrigé le problème depuis le temps.Pourquoi exploiter la faille d’un logiciel pour lire une partition qui est … en clair ? Oui car faille = logiciel qui fonctionne = partition montée = données en clair.Rémi

votre avatar







Patch a écrit :



Que veux-tu, c’est ca quand on une culture limitée, on est obligée de l’étaler à tout bout de champs…





Que veux-tu, tu t’es immiscé dans une discution portant sur quelque chose que tu ne connais pas (au vu de te traduction de commit, qui n’a rien d’une validation), n’essaye pas de t’en sortir en me qualifiant de limité.

&nbsp;

Donc oui de manière général ta remarque est parfaitement juste, mais non dans ce cas particulier que tu ne maitrises pas, ce n’est pas juste.

&nbsp;

Désolé de ne pas vouloir te laisser dire des bétises.


votre avatar



Il faut savoir cependant que ces failles ne remettent pas en question la sécurité de TrueCrypt lui-même, et donc de son chiffrement. Cependant, leur association peut permettre l’installation de malwares disposant de tous les droits, qui auront ensuite à loisir d’effectuer leur sale besogne, y compris chercher à récupérer les clés de chiffrement.





Pas très clair ce point, ce que j’ai compris (dites moi si je me trompe) :

Le fait d’avoir le logiciel Truecrypt sur windows est sensible à la faille en question. En revanche, utiliser un disque ou autres moyen de stockage chiffré par un Truecrypt est Ok.


votre avatar

Et pour les autres alternatives :

http://alternativeto.net/software/truecrypt/

en.wikipedia.org Wikipedia

votre avatar







AltreX a écrit :



Pas très clair ce point, ce que j’ai compris (dites moi si je me trompe) :

Le fait d’avoir le logiciel Truecrypt sur windows est sensible à la faille en question. En revanche, utiliser un disque ou autres moyen de stockage chiffré par un Truecrypt est Ok.





A mon avis cette faille concerne l’hypothèse dans laquelle tu récupères un fichier crypté avec TrueCrypt et vérolé et que tu le “montes” sur une partition de ton PC avec une version de TrueCrypt qui contient la faille. Le fichier crypté vérolé pourra alors exécuter du code malicieux avec les droits admin sur ton PC.

&nbsp;

&nbsp;Pour ceux (probablement 99% des utilisateurs) qui utilisent TrueCrypt avec leurs propres fichiers qu’ils ont créé eux-mêmes, je pense qu’il y a 0 risque (du moins avec ces 2 failles, il y en a peut-être d’autres non connues).


votre avatar

Alors…faut abandonner TrueCrypt …ok



pour ?



ah bin oui pour leur propre produit qui a lui corrigé ses failles…



Mais true crypt ,il me semblait qu’il y avait un feuilleton dessus ,y a peu, non ?



Donc la team truecrypt a deux billets sur ces failles qu’ils n’ont pas corrigé mais VeraCrypt si …. ces derniers connaissent donc les failles et les ont corrigés …

C’est bizarre pour moi perso.

Mais qui nous dit que veracrypt n’a pas ses propres failles …que true crypt n’aurait pas …et VeraCrypt ne donne pas la correction des failles reportées en billet non publiques à truecrypt …

votre avatar

Ok je comprends mieux !

merci bien pour cette réponse <img data-src=" />

votre avatar



James Forshaw a en effet averti l’équipe de développement de VeraCrypt (fork open source de TrueCrypt) il y a environ deux semaines.





Lire de travers (de porc), çaymal <img data-src=" />

votre avatar

Mouais, je reste dubitatif. Sans jouer à Mme Irma, la majorité des utilisateurs se servent de TrueCrypt pour chiffrer (au moins) un lecteur et y stocker ainsi des données.



Le cas exposé est vraiment rare. Comme tout le reste, c’est toujours bien de savoir qu’il y a une faille que de rien savoir, mais j’avoue que le cas exposé est vraiment marginal.



Bref, si vous avez votre partoche système ou une autre de stockage, ne changez rien et n’ouvrez pas une partoche extérieure à votre PC.



Au final, on retombe toujours sur l’ICC. Perso je n’ai jamais réçu de partition chiffrées, et si j’en reçois une je trouverez ça suspect.

votre avatar

<img data-src=" />

votre avatar

question : queslqu’un ici a testé VeraCrypt en ayant auparavant des volumes/disques entiers encryptés (pré-boot) avec TrueCrypt ? il y a eu des soucis de compatibilité ?

votre avatar

Je ne connaissais pas VeraCrypt.



C’est bon à savoir, je vais donc migrer dessus. :)

votre avatar

même si un gros <img data-src=" /> était évident .

Cela ne change pas mes propos …



Car ce dernier (chercheur donc à google) informe Veracrypt (qui avait donc les mêmes failles) mais pas truecrypt ….ceux chez qui il y avait les failles (mais ce dernier point est assujetti à mon histoire de feuilleton de l’été).



Donc si les gens malgré l’histoire autour de truecrypt sont tjs sur ce dernier ,malgré l’audit fait, sont suicidaires ,non ?



Et ,pour finir, veracrypt ne sont pas mieux ..même si actif actuellement , aucun n’audit n’a été fait sur eux , rien ne dit que eux n’ont pas de failles ou de porte dérobée nsa friendly ….



Le <img data-src=" /> rebrousse son poil velu ;)

votre avatar

Le truc c’est que l’équipe de truecrypt ne maintient plus le logiciel (histoire NSA ou truc du genre), c’est donc normal de ne pas les prévenir.

&nbsp;

La dernière version (7.2 je crois) ne permet plus de chiffrer. La dernière qui le fait est la 7.1a.

votre avatar







Papa Panda a écrit :



même si un gros <img data-src=" /> était évident .

Cela ne change pas mes propos …



Car ce dernier (chercheur donc à google) informe Veracrypt (qui avait donc les mêmes failles) mais pas truecrypt ….ceux chez qui il y avait les failles (mais ce dernier point est assujetti à mon histoire de feuilleton de l’été).



Donc si les gens malgré l’histoire autour de truecrypt sont tjs sur ce dernier ,malgré l’audit fait, sont suicidaires ,non ?



Et ,pour finir, veracrypt ne sont pas mieux ..même si actif actuellement , aucun n’audit n’a été fait sur eux , rien ne dit que eux n’ont pas de failles ou de porte dérobée nsa friendly ….



Le <img data-src=" /> rebrousse son poil velu ;)







Le projet TrueCrypt étant mort, qui aurais tu voulu informer ? ^^


votre avatar

C’est clair que cette histoire est franchement bizarre… Le sentiment que j’ai c’est que tout le monde veut que les gens lâchent TrueCrypt.



C’est ptre pour notre bien, ou pas. D’ailleurs je reste circonspect sur ce consensus rapide et largement partagé.

votre avatar

“les caractéristiques de la faille critique, qui s’appuie en fait sur un pilote Windows”

&nbsp;Du coup, peut-on utiliser TrueCrypt sur d’autres plateformes (Mac, Linux) ?

votre avatar



Mais ceux qui aimaient le produit et qui préfèrent se tourner vers un équivalent open source pourront télécharger VeraCrypt.





Mounir IDRASSI, le nouvel héros de la sécurité.

votre avatar

Un conteneur fait avec TC est compatible VC ou il faut en créer un nouveau ?

&nbsp;

Si j’ai bien compris la faille est du côté d’un pilote Windows, donc utiliser TC sur un autre système c’est bon ?

votre avatar

C’est rassurant ce que dit le développeur:



This is a confirmed side effect of the critical elevation of privilege issue. It makes volumes belong to the global namespace anf this forbids many of the usual actions.

A better fix is in preparation but it proves difficult…actually there is a need for a big architecture change in the handling of volume drive letters otherwise it will be impossible to fix the vulnerability without these side effects.

The current approach inherited from TrueCrypt is simplistic and it proves to be deadly…releasing the fix was important because I’m sure this vulnerability is known to attackers and it may have been already used. The last words of TrueCrypt developers seem to have more meanings now…



I’ll let you how things go and if this is fixable without side effects or not. This is the most difficult time for TrueCrypt and its forks like VeraCrypt and I will do my best to put everything back on track.

votre avatar

vendredi tout ça ^^ ///j’ai même mis le smiley <img data-src=" /> ….

votre avatar

Impressionnant comme la pêche a été bonne ;)

votre avatar

Plusieurs mois que je suis sous VeraCrypt.

&nbsp;

J’ai converti un volume, pas de soucis. Je peux aussi monter sans problème tous mes volumes TC, qu’ils soient pre-boot ou non. Ou les simples volumes “fichiers”.

&nbsp;



VeraCrypt existait avant la disparition de TrueCrypt. La principale différence est que VeraCrypt est beaucoup plus long (c’est expliqué quelque part pourquoi… la logique est : tu décryptes une seule fois ta clé… c’est lent une fois pour toi… une attaque en brute force… c’est beaucoup plus long pour chaque tentative). Cela dit une récente version permet de réger le “facteur de lenteur” soi-même.

&nbsp;



Pour autant que je me souvienne, VC ne change rien par rapport à TC, à part quelques bugfix et le changement du header de volume pour quelque chose de plus sécurisé. Enfin la meilleure source d’info à ce sujet, c’est encore leur site ;)

votre avatar

J’ai migré vers VeraCrypt il y a deux semaines. Du coup très content :)

&nbsp;

&nbsp;Par contre je ne comprenais pas pourquoi lorsque je montais un volume le processus était très lent (genre 10 secondes au moins).Visiblement c’est volontaire.&nbsp;

&nbsp;

&nbsp;J’ai une utilisation perso de VeraCrypt. J’y met tous mes documents administratifs en pdf ou scannés. Puis tout ceci est sur des serveurs de l’autre côté de l’atlantique (Dropbox). Je sais je me contredis complètement dans cette phrase en faisant l’inverse de ce qui est recommandé !&nbsp;

&nbsp;Je considère que si un gouvernement veut m’espionner il le fera et je n’y pourrais rien.&nbsp;

&nbsp;En revanche cela me permet d’éviter une usurpation d’identité qui est visiblement a la mode et qui serait très facile avec quelqu’un ayant le scan de mes pièces d’identité / sécu / impots …&nbsp;

&nbsp;

&nbsp;Bref je suis conscient que ce n’est pas idéal comme sécurité et que je vais faire hurler certains barbus ici, mais c’est pour moi un juste milieu entre praticité / sécurité.&nbsp;

&nbsp;

&nbsp;PS : je crois que sur monservicepublic.fr il y a un coffre fort numérique.&nbsp;

&nbsp;Quelqu’un l’utilise ?&nbsp;

&nbsp;(C’est juste pour des documents d’identité, pas pour du stoquage)

votre avatar

Je fais pareil (c’est juste du 7-Zip AES sur un autre service Cloud, vu que j’utilise ça en archivage sans modification).









Flogik a écrit :



Bref je suis conscient que ce n’est pas idéal comme sécurité et que je vais faire hurler certains barbus ici, mais c’est pour moi un juste milieu entre praticité / sécurité.





J’approuve. C’est difficile de garder une sauvegarde distante, récente et sécurisée, mais pourtant nécessaire pour pas mal de documents.


votre avatar

J’ai pas lu tous les com’s, mais pour avoir tester Veracrypt en remplacement de Truecrypt (même la dernière version), il y a un soucis de performances au boot lorsqu’on encrypte tout le système…

&nbsp;

La vérification du mot de passe prend selon la machine de test entre 1min et 10min …

&nbsp;

Du coup, pour l’instant, cette solution n’est pas envisageable pour nos portables (les mecs ne veulent pas attendre 3 plombes juste pour booter, et je le comprends :/)

&nbsp;



&nbsp;

votre avatar

Comme le disait xlp #39, VeraCrypt fait beaucoup plus d’itérations concernant la dérivation de la clé (cf. “What’s the difference between TrueCrypt and VeraCrypt?”). Depuis la version 1.12 tu peux réduire le nombre d’itérations à la création du volume via un Personal Iterations Multiplier (à condition d’avoir un mot de passe de plus de 20 caractères apparemment).

votre avatar







spamator a écrit :



Mais comment font ils pour trouver des trucs comme ça??

&nbsp;

Respect <img data-src=" />





C’est leur job, et en plus ils sont d’une excellente compétence…


votre avatar







f-heure-7 a écrit :



Comme le disait xlp #39, VeraCrypt fait beaucoup plus d’itérations concernant la dérivation de la clé (cf. “What’s the difference between TrueCrypt and VeraCrypt?”). Depuis la version 1.12 tu peux réduire le nombre d’itérations à la création du volume via un Personal Iterations Multiplier (à condition d’avoir un mot de passe de plus de 20 caractères apparemment).





Oui, effectivement, mais le mot de passe de 20 caractères est assez violent je trouve, même si dans l’absolu ce serait nécessaire; personnellement j’aurais juste aimé qu’il fonctionne de la même manière que Truecrypt :)

&nbsp;

On est passé sur Bitlocker du coup qui est beaucoup moins contraignant (après je ne saurais le comparer à Veracrypt au niveau sécurité).

&nbsp;


votre avatar







eglyn a écrit :



On est passé sur Bitlocker du coup qui est beaucoup moins contraignant (après je ne saurais le comparer à Veracrypt au niveau sécurité).





Bah c’est simple, en fait :

Bitlocker = MS = USA = Soumission au Patriot Act = Pas secure du tout

et : Bitlocker = MS = Fermé = Inauditable



Essaie VeraCrypt <img data-src=" />


votre avatar

Je suis pressé de voir la gueule de ces failles quand-même, j’ai l’impression qu’on fait un peu mousser. La première me fait penser à l’archi-connu probleme d’autorun de Windows.

&nbsp;

Tout ça me rappelle la soi-disant faille des VPN qui était juste l’auto configuration Teredo de Windows. C’est certes une fonctionnalité dangereuse dans ce cas mais ce n’est pas une faille et surtout elle n’a absolument rien à voir avec le code du logiciel visé.

&nbsp;



&nbsp;

votre avatar

Si tu es dans une entreprise lambda (non stratégique), je ne pense pas que tu risques grand chose avec BitLocker. Si vraiment des gens ont trouvé une vulnérabilité dans l’algorithme, elle doit être suffisamment secrète pour ne pas être utilisée par des voleurs de base.

votre avatar







Drepanocytose a écrit :



Bitlocker = MS = USA = Soumission au Patriot Act = Pas secure du tout





Lol.

&nbsp;

Tu sous entends que MS à inséré une backdoor (utilisable par n’importe qui donc) dans BitLocker pour respecter le Patriot Act ?

&nbsp;

C’est d’une bétise renversante :)


votre avatar

Pour ces deux failles, il n’y a que peu de risque si l’on utilise ses propres volumes truecrypt.

La recommandation “générale” me semble assez extrême.

votre avatar







f-heure-7 a écrit :



Si tu es dans une entreprise lambda (non stratégique), je ne pense pas que tu risques grand chose avec BitLocker. Si vraiment des gens ont trouvé une vulnérabilité dans l’algorithme, elle doit être suffisamment secrète pour ne pas être utilisée par des voleurs de base.





C’est exactement ça :)

&nbsp;


votre avatar







Bejarid a écrit :



Lol.

 

Tu sous entends que MS à inséré une backdoor (utilisable par n’importe qui donc) dans BitLocker pour respecter le Patriot Act ?

 

C’est d’une bétise renversante :)



Ou tout simplement à la demande de la NSA. Ca ne serait pas un coup d’essai de la NSA qui a déjà fait la même chose dans du libre…


votre avatar

il y a VeraCrypt qui reprend tout de TrueCrypt et qui permet de de déchiffrer les containers TrueCrypt.

Donc, abandonné TC pour VC, ce n’est pas compliqué.

votre avatar

VeraCrypt <img data-src=" />

votre avatar







Jarodd a écrit :



Un conteneur fait avec TC est compatible VC ou il faut en créer un nouveau ?





Oui, VeraCrypt sait ouvrir les conteneurs TC <img data-src=" />


votre avatar

Pour moi en effet, ce que j’en ai vu c’est que c’est un problème de l’implémentation windows du logiciel Truecrypt, mais en aucun cas une remise en cause du format de chiffrement , ou de la sécurité des données.

&nbsp;



&nbsp;Or, des moyens d’ouvrir des volumes truecrypt il en existe plusieurs, y compris sous d’autres plateforme . Sous linux, déjà, il y en a au moins 3 : Truecrypt original, tcplay et directement intégré au framework de crypto de linux, dmcrypt (dont le format de fichier truecrypt est supporté directement).

&nbsp;

Donc au moins 3 implémentations différentes . Sur mac aussi il y a truecrypt.

&nbsp;



&nbsp;A mon avis, c’est pas hyper grave cette faille, c’est vraiment spécifique et surtout, ça permet _pas_ d’ouvrir un volume en l’absence de mot de passe (ex si le mec est mort ou introuvable) : Il faut d’abord véroler la machine (et si la machine est vérolée, moi je m’emmerderais pas à craquer le volume : Je copierais simplement tout le contenu du volume, une fois gentiment déchiffré par l’utilisateur sans méfiance…

&nbsp;



&nbsp;

votre avatar







Patch a écrit :



Ou tout simplement à la demande de la NSA. Ca ne serait pas un coup d’essai de la NSA qui a déjà fait la même chose dans du libre…





T’imagine les dégats si cette porte grande ouverte était découverte, ce qui n’est qu’une question de temps ?

&nbsp;

C’est clairement de la paranoïa. Oui la NSA a accès à tout ce qui se passe dans Outlook.com et OneDrive, car Microsoft y a elle-même accès, et doit leur donner le même accès. Mais non, tout comme MS ne s’est pas donné d’accès à leur propre système (si tu coupe Windows Update c’est fini, ils n’ont plus d’accès admin), elle ne s’est pas non plus donné d’accès sur BitLocker.

&nbsp;

Ca n’a aucun sens de d’affirmer le contraire sans preuve. MS n’est pas un repository public où tu peux commit le code que tu veux hein ! Y a plein de gens qui le surveille : certains payé par les USA, d’autres par les actionnaires de MS qui n’ont que faire de la NSA, d’autres par l’état français qui considère la NSA autant comme un allié que comme un ennemi. Mais très peu peuvent check-in.


votre avatar







Bejarid a écrit :



MS n’est pas un repository public où tu peux commit le code que tu veux hein !



Et en francais, ca donne quoi?


votre avatar

C’est ce dont tu parlais avec ta référence au libre.

&nbsp;

&nbsp;Désolé, j’ai cru que comme tu en parlais tu t’y connaissais un minimum, my bad.

votre avatar







Bejarid a écrit :



C’est ce dont tu parlais avec ta référence au libre.

 

 Désolé, j’ai cru que comme tu en parlais tu t’y connaissais un minimum, my bad.



On est sur un site francophone, il existe des termes francais pour ce dont tu parles, autant les utiliser pour que tout le monde puisse comprendre un minimum. A moins que tu ne sois JCVD lui-même…

(Et au passage, non ca ne fait pas “hype” de parler franglais : ca fait juste con)


votre avatar







linkin623 a écrit :



Au final, on retombe toujours sur l’ICC. Perso je n’ai jamais réçu de partition chiffrées, et si j’en reçois une je trouverez ça suspect.





Dans un cadre plus professionnel, c’est un moyen très fréquent de communication de document. je bosse dans la sécurité et quand les mecs n’ont pas une plateforme d’échange de fichier sécurisée la communication se fait via le chiffrement (AXcrypt) direct des fichiers ou l’utilisation de conteneur (Zed ou trueCrypt) dont le mdp est partagé entre les deux parties, tu t’échanges le conteneur, met a jour les docs dedans etc…

&nbsp;

contrairement a ton expérience, c’est justement très fréquent de la mienne ;)


votre avatar

Oh oh, tu veux dire “Système de gestion de configuration” ?

&nbsp;

&nbsp;Désolé, je refuse d’utiliser les traductions françaises foireuses (qui d’ailleurs sont multiples, en français y a au moins des dizaines de façon de qualifié SVN et consors, chacune défendue par sa paroisse). Je le fais pas pour la “hype”, mais par efficacité.&nbsp;De la même façon que je ne code pas avec un langage qui s’est amusé à traduire ses mots-clés.

&nbsp;

&nbsp;Mais je note que le forme t’interesses nettement plus que le fond :)

votre avatar

Il parle de partition chiffré, pas juste de fichiers ou d’archives. 



&nbsp;      


J'ai aussi travaillé dans la sécurité, et ou tu travails avec des fichiers cryptés, ou tu travails sur une plateforme sécurisé (un Arch par exemple, pour la BdF) mais surment pas avec une partition windows crypté :D
votre avatar

Oui mais vu la phrase j’ai considéré qu’il avait fait une “approximation” :).

&nbsp;

&nbsp;j’ai pas lu le détail de la CVE encore, mais vu ce qu’écrit Vincent, si c’est de la bidouille dans les lettres de lecteur ca pourrait très bien marcher avec un conteneur qui se rattache au système comme un disque (niveau pilotes) qui pour le coup est beaucoup plus “échangeable” que ta partoche systeme ^^



&nbsp;

votre avatar







Bejarid a écrit :



Oh oh, tu veux dire “Système de gestion de configuration” ?

 

 Désolé, je refuse d’utiliser les traductions françaises foireuses (qui d’ailleurs sont multiples, en français y a au moins des dizaines de façon de qualifié SVN et consors, chacune défendue par sa paroisse). Je le fais pas pour la “hype”, mais par efficacité. De la même façon que je ne code pas avec un langage qui s’est amusé à traduire ses mots-clés.

 

 Mais je note que le forme t’interesses nettement plus que le fond :)



C’est vrai que dire “valider” au lieu de “commit”, c’est tellement à chier… Tu ne pourrais même pas passer pour qqu’un de con hype (même si tu affirmes le contraire) <img data-src=" />

Et non le forme ne m’intéresse pas. Par contre la forme est au moins aussi importante que le fond. Si la forme est foireuse, tu pourras avoir le fonds le meilleur du monde, il ne vaudra pas un clou.


votre avatar

Euh… Commit = validé ?

&nbsp;

&nbsp;Ah ouais. Quand même. Respect.

&nbsp;

&nbsp;Je suis d’accord, la forme a de l’importance, quand on comprend pas du tout les termes anglais et qu’on associe n’importe quoi comme traduction, ça donne effectivement un discours assez drôle ! <img data-src=" />

&nbsp;

&nbsp;C’est aussi pour ça que j’aime bien, dans certains cas, garder les termes originaux. Ca a de multiples avantages, dont celui de vite voir ceux qui n’y connaissent pas grand chose, comme toi :)

TrueCrypt pour Windows contient deux failles, dont une critique

  • En dépit de son audit, TrueCrypt contient deux failles

  • Élévation de privilèges et installation de malwares

  • Une raison supplémentaire d'abandonner TrueCrypt

Fermer