L’arrêt brutal de TrueCrypt a laissé place à de nombreuses théories. Ce qui n’empêche pas plusieurs développeurs de vouloir constituer une nouvelle équipe autour du projet et d’envisager un fork, c’est-à-dire une version dérivée.
Un nouveau site pour rassembler les efforts
Lorsque le site officiel de TrueCrypt a annoncé tout à coup la fin du développement de cette solution de chiffrement, beaucoup se sont perdus en analyses pour essayer de comprendre ce qui avait poussé les auteurs à une telle décision, si toutefois elle venait bien d’eux. Aucun ne s’est exprimé sur la question, ce qui laisse penser qu’il ne s’agit pas d’une attaque. Mais quelle qu’en soit la raison, cet arrêt n’a pas sapé la motivation de certains à vouloir que TrueCrypt continue de vivre.
Un nouveau site ouvert en Suisse, TrueCrypt.ch, se propose donc de réunir toutes les bonnes volontés autour d’une ligne directrice très simple : ne pas laisser mourir le logiciel. L’initiative est portée par Thomas Bruderer et Joseph Doekbrijder, qui veulent fédérer les efforts, aussi bien sur le plan technique que juridique. Car la licence de TrueCrypt n’est pas reconnue officiellement par l’Open Source Initiative et pourrait donc créer des problèmes.
Reprendre le développement là où il s'est arrêté
Mais de quelle manière exactement ? L’idée développée par Bruderer et Doekbrijder est celle d’un éventuel fork, c’est-à-dire une version dérivée de l’actuelle. Le code source, disponible sur le dépôt GitHub, serait donc repris et une nouvelle branche de développement serait créée pour faire évoluer TrueCrypt. Mais rien n’est encore décidé car les auteurs de ce projet attendant d’une part que des développeurs se manifestent, et d’autre part que l’audit de sécurité en cours se termine. En effet, comme nous le précisions la semaine dernière, il sera terminé en dépit de l’apparent abandon du logiciel.
Sur leur site, Bruderer et Doekbrijder expliquent : « Ce qui est arrivé est actuellement très trouble. Est-ce réellement la fin d’un effort de 10 ans ou était-ce l’action d’un gouvernement quelconque ? Même si un simple défacement est de moins en moins probable, nous ne savons toujours pas ce qui s’est passé. Cependant, les dernières 36 heures ont clairement montré que TrueCrypt est un produit fragile qui doit être basé sur un socle plus solide ». Pour l’instant, l’installeur est donc proposé en l’état, mais l’objectif est réellement de reprendre le développement là où il s’est arrêté.
Une initiative qui dans tous les cas rejoint la vision du chercheur en sécurité Steve Gibson. Dans un billet sur son blog, il explique que les développeurs de TrueCrypt ont apparemment choisi de stopper eux-mêmes leur création. Cependant, « ce n’est pas la manière dont Internet fonctionne ». Car « avoir créé quelque chose d’une telle valeur » change la donne selon lui : « Ils ne peuvent pas, à juste titre, le reprendre désormais ». Et de conclure : « Ils en ont peut-être fini avec lui, mais pas le reste d’entre nous ».
L'ANSSI recommande d'appliquer le principe de précaution
C’est dans ce contexte trouble que l’ANSSI (Agence nationale de la sécurité des systèmes d'information) revient sur l’arrêt du développement de TrueCrypt et précise que rien ne permet de dire actuellement ce qui s’est vraiment passé. Elle rappelle cependant que la dernière version 7.1a était certifiée de premier niveau et cette mouture correspond donc toujours aux caractéristiques de sécurité attendues.
Cependant, l’ANSSI note que l’arrêt du support est dans tous les cas un problème. Aussi, elle applique le principe de précaution et recommande de migrer « vers des produits qualifiés ou en cours de qualification offrant des fonctions semblables : Cryhod, Zed !, ZoneCentral, Security Box et StormShield ».
Commentaires (54)
Avec cryptage sous compte numéroté?
Aucun ne s’est exprimé sur la question, ce qui laisse penser qu’il ne s’agit pas d’une attaque qu’il s’agit bien d’une affaire avec la NSA avec le conseil de bien se taire si on ne veut pas saigner du nez.
Perso c’est ainsi que je comprends ce silence. Tant mieux si d’autres reprennent le flambeau, en espérant qu’ils ne tiennent pas trop à leurs genoux.
Sont cons à la nsa ou cia ou autres …
Ils auraient fait une comm aux auteurs de truecrypt style “ils arrêtent” ou “blah blah” même si cela ferait chier pas mal de monde.
Cela serait passer comme une lettre à la poste et personne n’aurait soupçonné (à tord ou à raison) la nsa…
Après ils st’étonnent que tout le monde veut leur diminuer le budget …
Sinon accessoirement il y a DiskCryptor, qui est open source ;
Quand je pense qu’il y a des théories qui disent que Sabu serait derrière TrueCrypt #Yolo
" />
La théorie du complot n’élève pas le niveau intellectuel du débat….
" /> Remarque, quand on ne trouve plus trop d’argument, il n’y a guère de solution : soit c’est le point Godwin, soit c’est la théorie du complot.
" />
La théorie du chaos n’a pas encore été mis en avant. C’est bizarre…..
Zed! et Zone Central c’est la même chose en fait
" />
" />
Zed! est intégré dans Zone Central qui est une suite complète.
Je me suis farci les tests des outils de chiffrement l’an dernier pour raisons pro
En tout cas moi c’est tout vu => dm_crypt.
(Quand j’aurais à créer de nouveau conteneurs parce qu’en attendant tcplay fonctionne parfaitement).
Quelqu’un aurait un lien vers le source code d’ailleurs de la 7.1 ?
http://www.hsc-news.com/archives/2014/000119.html
C’est marrant, il y a une théorie sur les raisons de l’abandon de TrueCrypt qui n’a pas été évoquée : une simple engueulade entre les développeurs.
En tout cas, ce ne serait pas le premier fork de TrueCrypt…
Quant au sujet de l’anonymat des développeurs, pour ma part, ça m’inspire plus confiance qu’en des gars qui donnent leur nom : un vrai parano est plus apte à en comprendre un autre.
La manière dont le projet a été arrêté n’a aucune chance de correspondre à ce qui est affirmé, càd un simple arrêt normal des développeurs. Changement de site (pourquoi mettre en place un nouveau site lors de l’arrêt du projet ?), aucun message explicatif d’aucune sorte, recommandation d’utiliser la solution fermée de MS certaine (de par la loi américaine) d’avoir des backdoors etc.
Le tout alors qu’un audit de sécurité venait de plutôt bien se terminer, aucune faille majeur (ou même importante) n’ayant été découverte.
En fait il se dit aussi que le fait de conseiller Bitlocker est un moyen de faire comprendre sans le dire qu’on exerce des pressions sur eux.
Des auteurs paranos qui tout d’un coup conseillent une solution américaine fermée? Mais qui peut y croire?
Que l’on trouve les théories du complot ridicules, soit, mais dans ce cas que l’on dise dans quel but ils conseilleraient un produit comme BL.
Alors j’ai testé quelques keyloggers (à base SetWindowHookEx et RawInput) et aucun n”a vu les mots de passes que j’ai saisit dans l’appli de vampire7..
" />
" />
Pas essayé par contre ceux qui injectent des threads /dll dans les processus.