Arrêt brutal de TrueCrypt : ce que l'on peut en dire pour le moment

Ras-le-bol, conspiration, faille trop importante ?

Arrêt brutal de TrueCrypt : ce que l’on peut en dire pour le moment

Arrêt brutal de TrueCrypt : ce que l'on peut en dire pour le moment

Depuis mercredi soir, le site officiel du logiciel de chiffrement TrueCrypt indique que le développement est désormais terminé. Il n’y a désormais plus qu’une page pour expliquer aux utilisateurs sous Windows comment activer BitLocker, la solution de chiffrement intégral que Microsoft propose avec certaines éditions des derniers Windows.

truecrypt

Le site officiel conseille d'utiliser BitLocker de Microsoft 

Que se passe-t-il avec TrueCrypt ? Alors que cette célèbre solution de chiffrement était en cours d’audit et que les résultats étaient d’ailleurs moins mauvais qu'escomptés, le site officiel annonce tout à coup l’arrêt complet des travaux :

 

« Le développement de TrueCrypt a été stoppé en mai 2014 après que Microsoft a arrêté le support de Windows XP. Windows 8/7/Vista et les versions suivantes offrent un support intégré du chiffrement des disques et des images virtuelles. Un tel support est également disponible sur d’autres plateformes. Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme ».

 

S’ensuit alors un véritable guide explicatif sur la manière de chiffrer intégralement le contenu du disque dur en utilisant BitLocker de Microsoft sur Vista, Windows 7 et Windows 8. Mais ce que la page ne dit pas, c’est que toutes les éditions de Windows n’intègrent pas BitLocker : il faut posséder une version Professionnelle ou Intégrale.

Pourquoi un arrêt aussi brutal ? 

Mais la vraie question qui se cache derrière ce brusque changement est : pourquoi ? Si l’on descend en bas de la page web, on trouve un lien vers une nouvelle version de TrueCrypt, estampillée 7.2. Pour autant, elle ne semble intégrer aucune nouveauté, mais son installeur présente le même texte d’avertissement que le site officiel. Plus grave, sous Windows 8.1, l’exécutable fait apparaître l’avertissement SmartScreen d’un potentiel comportement dangereux, comme a pu le constater The Register. Sur des versions plus anciennes de Windows, le logiciel refuse tout bonnement de chiffrer quoi que ce soit.

 

truecrypt

 

Il se pourrait en fait que le site ait tout simplement été piraté, mais les avis à ce sujet diffèrent très largement. L’expert en sécurité Brian Krebs explique sur son blog que plusieurs signes tendent à montrer que l’arrêt semble authentique. Par exemple, les enregistrements DNS et WHOIS ne montrent aucun changement particulier. Par ailleurs, la clé utilisée pour signer la version 7.2 est strictement la même que celle employée en janvier dernier. Même son de cloche pour le chercheur en cryptographie Matthew Green qui, bien qu’étant un détracteur de TrueCrypt, regrette que les développeurs aient arrêté l’aventure de manière si brutale.

L'audit de sécurité continuera 

Mais alors qu’en est-il de l’audit démarré sur la base d’un financement participatif qui, avec ses plus de 70 000 dollars, avait largement dépassé son objectif ? Il va continuer. Kenn White, l’un des auteurs du projet d’audit dans un premier temps a indiqué qu’il n’avait aucune raison pour expliquer un tel revirement de la part des développeurs. Cependant, comme on peut le voir sur le compte Twitter officiel du projet, (@OpenCryptoAudit), l’audit va se poursuivre : « Nous continuerons avec la cryptanalyse formelle de TrueCrypt 7.1 comme prévu, et nous espérons pouvoir publier un rapport final dans quelques mois ». Le même compte annonce par ailleurs qu’un audit d’OpenSSL aura lieu en partenariat avec la Critical Infrastructure Initiative de la Linux Foundation.

 

Pourquoi continuer un audit ? Parce que techniquement, TrueCrypt pourrait continuer sous une autre forme. Depuis le site SourceForge, on peut en effet toujours récupérer les sources du logiciel. Mais pour qu’une suite puisse réellement survenir, il faudrait d’abord éclaircir le cas de la licence. Les développeurs de TrueCrypt n’ont en effet pas utilisé une licence déjà existante mais ont créé la leur. Bien que les sources soient disponibles, ladite licence n’a jamais été approuvée par l’Open Source Initiative. On peut retrouver d’ailleurs d’anciennes discussions montrant que cette licence pose problème depuis des années, notamment en 2008 pour une éventuelle intégration dans Fedora. Ce qui n'empêche pas l'Open Crypto Audit Project de considérer la possibilité d'un fork.

Une simple décision collégiale sans signe précurseur ? 

Mais avant même d’envisager la future et éventuelle vie de TrueCrypt, il reste à savoir si oui ou non l’arrêt du développement est une vraie décision de l’équipe. Ars Technica aborde de son côté les trois plus grandes théories explicatives de l’évènement :

  • La conséquence d’une National Security Letter, avec à la clé une situation semblable à celle de Lavabit
  • Un piratage très élaboré
  • La découverte d’une vulnérabilité nécessitant trop de travail pour être corrigée

L’hypothèse d’un « ras-le-bol général » n’est en outre pas à exclure. Mais dans tous les cas, celle d’un piratage perd graduellement de sa crédibilité au fur et à mesure que le temps passe et qu’aucun développeur ne se manifeste pour en parler.

Commentaires (320)


J’ai vu ça ce matin en croyant à une mise à jour du logiciel, et POF ! ce message incompréhensible ! <img data-src=" />


Factuel, clair et net. <img data-src=" />

À noter que la dernière version fonctionnelle est la 7.1a, et qu’on peut toujours la trouver ici et là, comme sur Clubic.


Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi <img data-src=" /> <img data-src=" />








FunnyD a écrit :



Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi <img data-src=" /> <img data-src=" />





+1 Pour un vendredi en plus… Déjà qu’il n’y a pas grand monde au taff… <img data-src=" />



Mouais, sans personne pour dire quoi que ce soit parmi les dev, la solution “ferme ta gueule et fais une maj de ton appli a notre sauce” venant de la NSA ou d’une instance gouv quelconque est de plus en plus probable…


Ouais, enfin avec TrueCrypt on pouvait stocker des fichiers chiffrés dans le Cloud.

Avec les solutions propriétaires les fichiers sont transmis en clair en espérant que lhébergeur Cloud soit sympa.


A savoir que d’apres un article et les com’ de chez Korben, la version 7.2 en question semble ne plus pouvoir crypter quoi que ce soit, juste lire des volumes deja en place.

Ca pue le paté








FunnyD a écrit :



Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi <img data-src=" /> <img data-src=" />





allez je me lance:



WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues





TrueCrypt is Not Secure As



TrueCrypt is NSA



<img data-src=" />









momal a écrit :



Mouais, sans personne pour dire quoi que ce soit parmi les dev, la solution “ferme ta gueule et fais une maj de ton appli a notre sauce” venant de la NSA ou d’une instance gouv quelconque est de plus en plus probable…





Surtout quand ils conseillent BitLocker ( qui à probablement un backdoor signé nsa )



Hé bien, je vais conserver ma version de truecrypt dans un coin, ça sera toujours ça de pris.








skan a écrit :



Ouais, enfin avec TrueCrypt on pouvait stocker des fichiers chiffrés dans le Cloud.

Avec les solutions propriétaires les fichiers sont transmis en clair en espérant que lhébergeur Cloud soit sympa.





tu peux aussi utiliser GnuPG (Open PGP) pour ça <img data-src=" />









sylvere a écrit :



allez je me lance:





TrueCrypt is Not Secure As



TrueCrypt is NSA



<img data-src=" />





+1



Si ça se trouve, le prochain doc de Snwoden va montrer que Truecrypt a été développé de bout par la NSA <img data-src=" />









sylvere a écrit :



allez je me lance:





TrueCrypt is Not Secure As



TrueCrypt is NSA



<img data-src=" />





Joli ! <img data-src=" />









sylvere a écrit :



allez je me lance:





TrueCrypt is Not Secure As



TrueCrypt is NSA



<img data-src=" />





<img data-src=" /> Oh ça va suffire de toujours tout ramener à la NSA !



:eeek:





Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme



Mais y en a aucune qui prend en compte le déni plausible… <img data-src=" />


…ou alors un rachat de la part de MS comme ça été le cas avec sysinternal il y a quelques années. Le scénario était a peu prêt le même. Disparition des outils sans donner une seule explication.


Ou alors, tous les développeurs ont gagné un voyage pour la destination de 6 pieds sous terre <img data-src=" />








Mihashi a écrit :



:eeek:





Mais y en a aucune qui prend en compte le déni plausible… <img data-src=" />





Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.









ActionFighter a écrit :



+1



Si ça se trouve, le prochain doc de Snwoden va montrer que Truecrypt a été développé de bout par la NSA <img data-src=" />







Il était le premier à vanter les mérites de TrueCrypt, donc c’est peut probable <img data-src=" />









nim65s a écrit :



Il était le premier à vanter les mérites de TrueCrypt, donc c’est peut probable <img data-src=" />





Il avait peut-être pas eu le temps de lire les milliers de documents, et en potassant un peu ce qu’il avait, il s’est rendu compte de la supercherie <img data-src=" />









Dr.Wily a écrit :



…ou alors un rachat de la part de MS comme ça été le cas avec sysinternal il y a quelques années. Le scénario était a peu prêt le même. Disparition des outils sans donner une seule explication.





Les outils sont toujours disponibles :http://technet.microsoft.com/en-US/sysinternals

Ne serait-ce que parce qu’ils sont abondamment utilisés dans les livres Windows Internals…









momal a écrit :



A savoir que d’apres un article et les com’ de chez Korben, la version 7.2 en question semble ne plus pouvoir crypter quoi que ce soit, juste lire des volumes deja en place.

Ca pue le paté







Sinon, suffit de faire directement un diff









Dr.Wily a écrit :



…ou alors un rachat de la part de MS comme ça été le cas avec sysinternal il y a quelques années. Le scénario était a peu prêt le même. Disparition des outils sans donner une seule explication.





c’est la explication valable pour cette page conseillant la migration vers Bitlocker.



par contre truecrypt est open source donc rien n’empêche de continuer sont développement en faisant un fork, non ? <img data-src=" />









Khalev a écrit :



+1 Pour un vendredi en plus… Déjà qu’il n’y a pas grand monde au taff… <img data-src=" />





Clair que c’est calme<img data-src=" />



sylvere a écrit :



allez je me lance:





TrueCrypt is Not Secure As



TrueCrypt is NSA



<img data-src=" />



Un message codé pour un logiciel de cryptage!!!<img data-src=" />









jpaul a écrit :



Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.





Et alors ? Qu’ils soient au courant ou pas ne change rien au fait qu’ils ne peuvent te forcer à donner un mot de passe qui n’existe peut-être pas…

Que ce soit une enquête ou autre.



PGP Deskpot pour la vie, décrypte moi si tu peux ! <img data-src=" />



TrueCrypt c’est hasbeen depuis belle lurette, décryptage facile par les Gendarmes du net <img data-src=" />








jpaul a écrit :



Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.







Il est bien connu qu’il n’y à que les gens qui ont qqch à cacher qui utilisent des logiciels de chiffrement….



C’est bizarre depuis hier je lis pleins d’hypothèses sur le sujet, des théories qu’on peut soit qualifiée de farfelues soit d’inquiétantes, tout le monde parle sauf les principaux concernés.



Est-ce que Next Impact connait une raison pour ce silence? A t’on essayé de joindre l’équipe? Je ne connais pas le nombre de développeurs derrières TrueCrypt, mais s’ils sont plus qu’une poignée, ça parait compliqué et risqué de vouloir les faire taire tous sous la menace, non?



Bref, comment cela se fait que malgré tout ce buzz, on ait aucune explication des développeurs? Vous avez essayé de les contacter? Silence, refus?


Un gros chèque de la NSA pour chacun des contributeurs pour qu’ils prennent une retraite anticipée et forcée ?








eliumnick a écrit :



Il est bien connu qu’il n’y à que les gens qui ont qqch à cacher qui utilisent des logiciels de chiffrement….









Tu parle quand même sous un pseudonyme “eliumnickv” tu as peur de dévoiler ton vraie nom ? tu as des ennemis ?



Montre nous ta femelle et ta progéniture sur FB si tu n’a rien à cacher <img data-src=" /> vante nous de ta vie !









AnthoniF a écrit :



PGP Deskpot pour la vie, décrypte moi si tu peux ! <img data-src=" />



TrueCrypt c’est hasbeen depuis belle lurette, décryptage facile par les Gendarmes du net <img data-src=" />





Lequel de PGP Desktop ? Celui dont le dev est arrêté depuis 2001, ou le truc de Symantec, entreprise américaine ?









eliumnick a écrit :



Il est bien connu qu’il n’y à que les gens qui ont qqch à cacher qui utilisent des logiciels de chiffrement….









Ah , pour un dredi, c’est un joli.. ca mord ?









AnthoniF a écrit :



Tu parle quand même sous un pseudonyme “eliumnickv” tu as peur de dévoiler ton vraie nom ? tu as des ennemis ?



Montre nous ta femelle et ta progéniture sur FB si tu n’a rien à cacher <img data-src=" /> vante nous de ta vie !







Je ne faisais que souligner le commentaire débile auquel je répondais ^^









momal a écrit :



Ah , pour un dredi, c’est un joli.. ca mord ?







Raa mais c’est le commantaire #13 qui a commencé ^^









ActionFighter a écrit :



+1



Si ça se trouve, le prochain doc de Snwoden va montrer que Truecrypt a été développé de bout par la NSA <img data-src=" />



A se demander ce qui en serait sorti s’ils avaient été assis…<img data-src=" />



———————————————————————&gt;[ ] <img data-src=" />









ActionFighter a écrit :



Lequel de PGP Desktop ? Celui dont le dev est arrêté depuis 2001, ou le truc de Symantec, entreprise américaine ?







L’ancienne version avant que Symantec rachète PGP en 2010 <img data-src=" /> impossible de les décrypter <img data-src=" />









eliumnick a écrit :



Je ne faisais que souligner le commentaire débile auquel je répondais ^^







mille excuses monseigneur <img data-src=" />



Du coup, les compte de la crypte sont au fond du true.








AnthoniF a écrit :



PGP Deskpot pour la vie, décrypte moi si tu peux ! <img data-src=" />



TrueCrypt c’est hasbeen depuis belle lurette, décryptage facile par les Gendarmes du net <img data-src=" />









source ?









cid_Dileezer_geek a écrit :



A se demander ce qui en serait sorti s’ils avaient été assis…<img data-src=" />



———————————————————————&gt;[ ] <img data-src=" />





<img data-src=" />



Oh l’erreur… <img data-src=" />



Mon cerveau est trop rapide pour mes mains <img data-src=" />







AnthoniF a écrit :



L’ancienne version avant que Symantec rachète PGP en 2010 <img data-src=" /> impossible de les décrypter <img data-src=" />





Ouais, enfin sans support, pas sûr qu’il n’y pas une aucune faille non corrigée.









philoxera a écrit :



Du coup, les compte de la crypte sont au fond du true.





rhôôôôôô<img data-src=" />









heisspiter a écrit :



Les outils sont toujours disponibles :http://technet.microsoft.com/en-US/sysinternals

Ne serait-ce que parce qu’ils sont abondamment utilisés dans les livres Windows Internals…







Oui je sais bien. mais à l’époque ils avaient disparus de la circulation, le site de sysinternal redirigeant sur le site de MS. Les outils étaient perdus dans les méandres du site de MS. Puis c’est revenu peu à peu et ça été centralisé.









jpaul a écrit :



Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.





+1

Une grosse partition en FAT32 presque vide chiffrée avec TrueCrypt, c’est tout-à-fait normal… En général, ceux qui vont nous demander notre mot de passe risquent d’être quelque peu agacés de ce genre de réponse. Ça peut donc même se retourner contre nous.









animus a écrit :



Bref, comment cela se fait que malgré tout ce buzz, on ait aucune explication des développeurs? Vous avez essayé de les contacter? Silence, refus?





Le problèmes c’est que les dév de TrueCrypt sont anonymes.



Donc ouai s’ils veulent pas communiquer, ils ne communiquent pas et personne ne peut les y forcer.



Pour les pédo-terroristes que ça intéresse, une petite liste faite par Korben d’alternatives à TC.


Je crois que j’ai bien fait de me garder dans un coin TrueCrypt.

Dommage car il était excellent.








FunnyD a écrit :



Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi <img data-src=" /> <img data-src=" />







J’ai !



L’audit de sécurité qui a fini a dit qu’il n’y avait pas de backdoor… Et du coup la NSA s’est aperçu qu’il avait oublié de faire leur boulot sur TrueCrypt, parce qu’un stagiaire avait égaré le dossier Truecrypt a l’époque et n’a préféré rien dire de peur de ne pas valider son stage !

Donc maintenant, la NSA s’est réveillé et a du faire un coup a la lavabit pour essayer de rattraper la boulette.









ActionFighter a écrit :



Pour les pédo-terroristes que ça intéresse, une petite liste faite par Korben d’alternatives à TC.





INtéressante liste… <img data-src=" /> <img data-src=" />



Error 503 Service Unavailable



Service Unavailable

Guru Meditation:



XID: 599422445









kikoo25 a écrit :



J’ai !



L’audit de sécurité qui a fini a dit qu’il n’y avait pas de backdoor… Et du coup la NSA s’est aperçu qu’il avait oublié de faire leur boulot sur TrueCrypt, parce qu’un stagiaire avait égaré le dossier Truecrypt a l’époque et n’a préféré rien dire de peur de ne pas valider son stage !

Donc maintenant, la NSA s’est réveillé et a du faire un coup a la lavabit pour essayer de rattraper la boulette.







C’est pas super farfelu ça…









sylvere a écrit :



tu peux aussi utiliser GnuPG (Open PGP) pour ça <img data-src=" />





un peu moins userfriendly me semble t-il





ActionFighter a écrit :



Ou alors, tous les développeurs ont gagné un voyage pour la destination de 6 pieds sous terre <img data-src=" />





ou alors on les a payé pour plus rien développer et sont actuellement sur une ile des bahamas…









Khalev a écrit :



Le problèmes c’est que les dév de TrueCrypt sont anonymes.



Donc ouai s’ils veulent pas communiquer, ils ne communiquent pas et personne ne peut les y forcer.







Ok merci pour l’info!



Et j’imagine qu’il n’y a pas de mailing public ou de channel IRC voir de compte Twitter où joindre l’équipe?

(Sur le site officiel, là maintenant il y a rien, mais peut être que c’est juste du à la mise à jour du site avec la page d’avertissement)









Aces a écrit :



INtéressante liste… <img data-src=" /> <img data-src=" />





Effectivement, il est un peu dans les choux son site, faut user un peu la touche F5 pour y accéder <img data-src=" />









jeje07 a écrit :



source ?







Des connaissances qui ont eu le droit a une saisie de leur disque dur (crypté par PGP) par une équipe de Gendarmerie spécialiser dans le domaine informatique (dont j’ai oublier le nom du groupe), décryptage, récupération de données etc…










FunnyD a écrit :



Pffff pas d’hypothèses farfelues; ca manque de fantasy chez NIxi <img data-src=" /> <img data-src=" />







Les elfes font le pont ce week-end et les orques sont en grève. <img data-src=" />



<img data-src=" />









kikoo25 a écrit :



J’ai !



L’audit de sécurité qui a fini a dit qu’il n’y avait pas de backdoor… Et du coup la NSA s’est aperçu qu’il avait oublié de faire leur boulot sur TrueCrypt, parce qu’un stagiaire avait égaré le dossier Truecrypt a l’époque et n’a préféré rien dire de peur de ne pas valider son stage !

Donc maintenant, la NSA s’est réveillé et a du faire un coup a la lavabit pour essayer de rattraper la boulette.





Tu viens d’expliquer ce qui s’est passé pour éviter sur TrueCrypt ne ferme ses portes avant…

Bon maintenant le stagiaire a été exécuté pour faute grave et la NSA a été chargée d’envoyer le FBI pour étouffer l’affaire et faire fermer TC… <img data-src=" />









eliumnick a écrit :



Il est bien connu qu’il n’y à que les gens qui ont qqch à cacher qui utilisent des logiciels de chiffrement….





Généralement quand tu te retrouves pour x ou y raisons en interrogatoire, que ce soit pour des raisons légitimes ou pas et qu’on te demande ton mot de passe de chiffrement, c’est qu’il y a déjà quelques soupçons à ton encontre …









AnthoniF a écrit :



Des connaissances qui ont eu le droit a une saisie de leur disque dur (crypté par PGP) par une équipe de Gendarmerie spécialiser dans le domaine informatique (dont j’ai oublier le nom du groupe), décryptage, récupération de données etc…







de mon coté j’ai lu un article disant que le FBI s’était mordu les doigts pendant 1 an a essayer de décrypter un disque dur codé avec truecrypt.



qui croire?



<img data-src=" />









jpaul a écrit :



Généralement quand tu te retrouves pour x ou y raisons en interrogatoire, que ce soit pour des raisons légitimes ou pas et qu’on te demande ton mot de passe de chiffrement, c’est qu’il y a déjà quelques soupçons à ton encontre …







Chiffrer son disque suffit à se faire interroger ? ^^









AnthoniF a écrit :



Des connaissances qui ont eu le droit a une saisie de leur disque dur (crypté par PGP) par une équipe de Gendarmerie spécialiser dans le domaine informatique (dont j’ai oublier le nom du groupe), décryptage, récupération de données etc…









jeje07 a écrit :



de mon coté j’ai lu un article disant que le FBI s’était mordu les doigts pendant 1 an a essayer de décrypter un disque dur codé avec truecrypt.



qui croire?



<img data-src=" />







Si le certificat PGP était en libre accès sur la machine aucun problème pour décrypter ^^









eliumnick a écrit :



Chiffrer son disque suffit à se faire interroger ? ^^





Je veux bien que mes commentaires soient “débiles” comme tu dis, mais j’ai justement dit le contraire non?









jpaul a écrit :



Je veux bien que mes commentaires soient “débiles” comme tu dis, mais j’ai justement dit le contraire non?





Tes commentaires sont trop durs à déchiffrer <img data-src=" />









Aces a écrit :



INtéressante liste… <img data-src=" /> <img data-src=" />





A toi aussi (depuis ce matin au boulot j’ai des problème d’accès au net )









jpaul a écrit :



Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.









jpaul a écrit :



Généralement quand tu te retrouves pour x ou y raisons en interrogatoire, que ce soit pour des raisons légitimes ou pas et qu’on te demande ton mot de passe de chiffrement, c’est qu’il y a déjà quelques soupçons à ton encontre …







Ah ^^ tu pars du principe que la personne se fait interroger pour X raisons, et la les enquêteurs découvre un volume encrypté ^^

Bonne chance a eux pour prouver qu’il y a un volume caché ^^ Même si ils peuvent s’en douter, ça ne va pas les faire avancer









John Shaft a écrit :



Les elfes font le pont ce week-end et les orques sont en grève. <img data-src=" />



<img data-src=" />





Du coup Vincent est venu sans son épée?<img data-src=" />



kikoo25 a écrit :



J’ai !



L’audit de sécurité qui a fini a dit qu’il n’y avait pas de backdoor… Et du coup la NSA s’est aperçu qu’il avait oublié de faire leur boulot sur TrueCrypt, parce qu’un stagiaire avait égaré le dossier Truecrypt a l’époque et n’a préféré rien dire de peur de ne pas valider son stage !

Donc maintenant, la NSA s’est réveillé et a du faire un coup a la lavabit pour essayer de rattraper la boulette.





Ca manque d’Alien









eliumnick a écrit :



Si le certificat PGP était en libre accès sur la machine aucun problème pour décrypter ^^











ActionFighter a écrit :



<img data-src=" />







Ouais, enfin sans support, pas sûr qu’il n’y pas une aucune faille non corrigée.









Faut-il déjà savoir quel nom de logiciel de cryptage a été utilisé pour crypter le disque dur, une fois que le DD est connecté sur n’importe quel PC n’ayant pas installer PGP, il te demande par la suite de formater le disque lors de l’accès via le poste de travail…. par la suite une récupération des données via des logiciels diverse est totalement inutile car les données sont totalement corrompu









monpci a écrit :



A toi aussi (depuis ce matin au boulot j’ai des problème d’accès au net )









ActionFighter a écrit :



Effectivement, il est un peu dans les choux son site, faut user un peu la touche F5 pour y accéder <img data-src=" />





C’est bon, en insistant sur F5, ça passe.

Merci pour le lien et en plus, j’ai pu récupérer TC et noté des trucs pour OpenSUSE. <img data-src=" />.









AnthoniF a écrit :



Faut-il déjà savoir quel nom de logiciel de cryptage a été utilisé pour crypter le disque dur, une fois que le DD est connecté sur n’importe quel PC n’ayant pas installer PGP, il te demande par la suite de formater le disque lors de l’accès via le poste de travail….







Il suffit d’installer la majorité des logiciels de cryptage sur le PC sur lequel tu veux brancher un disque pour savoir si celui-ci est encrypté alors….





Vous devriez migrer toute donnée chiffrée par TrueCrypt vers des disques et images virtuelles chiffrés et supportés sur votre plateforme





Tant que la plateforme est Windows donc <img data-src=" />



Ils doivent avoir leurs raisons, mais de là à dire que la solution Microsoft remplacera la leur… Ca sent l’argumentation avec une odeur de poudre.



Sinon, existe-t-il une véritable alternative, non soumise à un seul OS ? <img data-src=" />








jeje07 a écrit :



de mon coté j’ai lu un article disant que le FBI s’était mordu les doigts pendant 1 an a essayer de décrypter un disque dur codé avec truecrypt.



qui croire?



<img data-src=" />





ce me semble , (avoir lu) à prendre avec des pincettes++ , qu’ils reste des infos dans la rame

donc si le gars a accéder à son sa partition Tc et n’a pas éteint son pc entre temps,

il est théoriquement possible de rouvrir la partition TC









Khalev a écrit :



Le problèmes c’est que les dév de TrueCrypt sont anonymes.



Donc ouai s’ils veulent pas communiquer, ils ne communiquent pas et personne ne peut les y forcer.







Et s’ils communiquent on peut remettre en cause leur légitimité puisqu’on ne sait pas s’ils le sont vraiment ou s’ils fakent <img data-src=" />



Heureusement que le pare feu Open Office fait aussi office de logiciel de chiffrement <img data-src=" />








Jarodd a écrit :



Tant que la plateforme est Windows donc <img data-src=" />



Ils doivent avoir leurs raisons, mais de là à dire que la solution Microsoft remplacera la leur… Ca sent l’argumentation avec une odeur de poudre.



Sinon, existe-t-il une véritable alternative, non soumise à un seul OS ? <img data-src=" />









je doute qu’un volume crypté soit forcément déchiffrable parce que l’os est windows









jeje07 a écrit :



je doute qu’un volume crypté soit forcément déchiffrable parce que l’os est windows







Mais si ^^ Il y a surement une faille de sécurité coté windows qui permet de déchiffrer le disque ^^









eliumnick a écrit :



Bonne chance a eux pour prouver qu’il y a un volume caché ^^ Même si ils peuvent s’en douter, ça ne va pas les faire avancer





Super… et quel est ton but en cherchant à ralentir le boulot de la police ?









AnthoniF a écrit :



Faut-il déjà savoir quel nom de logiciel de cryptage a été utilisé pour crypter le disque dur, une fois que le DD est connecté sur n’importe quel PC n’ayant pas installer PGP, il te demande par la suite de formater le disque lors de l’accès via le poste de travail…. par la suite une récupération des données via des logiciels diverse est totalement inutile car les données sont totalement corrompu





Je ne pense pas que les services spécialisés vont suivre l’indication “cliquez sur Ok pour formater le disque dur” <img data-src=" />



Tous les flics ne s’appellent pas Marcel Patulacci <img data-src=" />









eliumnick a écrit :



Ah ^^ tu pars du principe que la personne se fait interroger pour X raisons, et la les enquêteurs découvre un volume encrypté ^^

Bonne chance a eux pour prouver qu’il y a un volume caché ^^ Même si ils peuvent s’en douter, ça ne va pas les faire avancer







TCHunt - Détecter la présence de conteneurs TrueCrypt …

korben.info/tchunt-detecter-la-presence-de-conteneurs-truecrypt.html

12 avr. 2011 - Si vous vous pensiez à l’abri avec votre petit conteneur TrueCrypt déguisé en fichier zip, en dll ou jpg au fin fond d’un repertoire de votre …









eliumnick a écrit :



Il suffit d’installer la majorité des logiciels de cryptage sur le PC sur lequel tu veux brancher un disque pour savoir si celui-ci est encrypté alors….









<img data-src=" /> Tu marque un point, mais après place au décryptage :d









Aces a écrit :



C’est bon, en insistant sur F5, ça passe.

Merci pour le lien et en plus, j’ai pu récupérer TC et noté des trucs pour OpenSUSE. <img data-src=" />.





Cool, mon pishing a fonctionné <img data-src=" />



<img data-src=" />









Faith a écrit :



Super… et quel est ton but en cherchant à ralentir le boulot de la police ?







Faire respecter la présomption d’innocence ? ^^ Ah mais non c’est vrai la présomption ne s’applique pas aux terroristes informatiques ^^









eliumnick a écrit :



Chiffrer son disque suffit à se faire interroger ? ^^





Je vais te la faire autrement:





Mise en place du décor:

22h, dans une petite salle planquée du building d’un grand groupe. Trois types en costume dont deux brutes et un petit chauve.





  • Le petit chauve: Monsieur Eliumnick, comme ons e retrouve. <img data-src=" />

  • Eliumnick: Qu’est-ce que t’as sale chauve !? <img data-src=" />

  • Le petit chauve (montrant une pile de documents): Nous avons là des éléments indiquant que vous nous avez espionné pour le compte de la concurence. <img data-src=" />

  • Eliumnick: <img data-src=" />

  • Le petit chauve: Voyons ça… <img data-src=" />

  • Le petit chauve: Je vois dans votre ordinateur un disque TrueCrypt. Quelle en est la clé ?<img data-src=" />

  • Eliumnick: <img data-src=" />

  • Brute 1: <img data-src=" />

  • Brute 2: <img data-src=" /> <img data-src=" />

  • Eliumnick: <img data-src=" />

  • Le petit chauve: Mmmmh, sympa les photos de l’anniversaire de votre femme <img data-src=" /> Et le volume caché ?

  • Eliumnick: Yen a pas ! <img data-src=" />

  • Le petit chauve: Monsieur est taquin. <img data-src=" />

  • Brute 1: <img data-src=" /> <img data-src=" />

  • Brute 2: <img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />

  • Eliumnick: <img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />

  • Brute 2: <img data-src=" /> <img data-src=" />

  • Brute 1, Brute 2: <img data-src=" />



    <img data-src=" />



    EDIT: Pour info, la brute 2 meurt d’un cancer du poumon une semaine plus tard <img data-src=" />









monpci a écrit :



ce me semble , (avoir lu) à prendre avec des pincettes++ , qu’ils reste des infos dans la rame

donc si le gars a accéder à son sa partition Tc et n’a pas éteint son pc entre temps,

il est théoriquement possible de rouvrir la partition TC





Je confirme, il y a un article de sécurité qui traite de la récupération d’un mot de passe TC via un dump de mémoire sous linux.



A fiortiori, homme, et gardien de la paix avant tout :)








jeje07 a écrit :



je doute qu’un volume crypté soit forcément déchiffrable parce que l’os est windows







Ce n’est pas ce que je dis. En gros, TC dit de choisir un autre outil pour migrer nos données vers une autre plateforme. Et dans le même temps, ils conseillent uniquement des outils Microsoft. Donc ils conseillent quoi si on n’utilise pas Windows ?









jpaul a écrit :



Je vais te la faire autrement:





<img data-src=" />







Pas mal l’histoire ^^ Mais il manque une étape : comment le petit chauve à vu qu’il y avait un volume TC ? ^^









monpci a écrit :





Et ce TCHunt détecte aussi les doubles conteneurs ?



Parce qu’un conteneur simple ne contient rien d’intéressant <img data-src=" />









monpci a écrit :







On parle de volume caché la…









eliumnick a écrit :



Faire respecter la présomption d’innocence ? ^^





Alors tu n’as pas compris le concept de présomption d’innocence…

“Toute personne accusée d’un acte délictueux est présumée innocente jusqu’à ce que sa culpabilité ait été légalement établie au cours d’un procès public où toutes les garanties nécessaires à sa défense lui auront été assurées.”



Ca n’a aucun rapport avec essaye d’empêcher les policiers de faire leur travail.

Donc explique nous encore une fois ce que tu cherches à obtenir en ralentissant la police ? Si tu es innocent, tu coutes de l’argent à la société et tu empêches les policiers de s’attaquer aux délinquants. Et si tu es coupable… ah oui… là, je comprends.









jpaul a écrit :



Ça m’a toujours fait marrer ce truc. Comme si les bouledogues qui te demandent gentiment ton mot de passe n’étaient pas au courant du déni plausible.



Comme par hasard, tu te retrouves trempé dans une enquête et comme par magie, t’as des photos de vacances chiffrées avec TrueCrypt.







tu met du porn perso (des selfies hots) et tu prétend que c’est pour pars que tes enfants qui utilisent aussi le pc tombent dessus <img data-src=" />









ActionFighter a écrit :



Et ce TCHunt détecte aussi les doubles conteneurs ?



Parce qu’un conteneur simple ne contient rien d’intéressant <img data-src=" />





Il faut pas trop m’en demander non plus ….

Je me souvenais avoir lu un truc du genre … je partage

si tu veux en savoir plus : va faire du f5 avec les autre chez korben (mode non agressif uniquement pour faire une phrase censé être drôle mais qui ne l’ai pas en réalité )









Faith a écrit :



Alors tu n’as pas compris le concept de présomption d’innocence…

“Toute personne accusée d’un acte délictueux est présumée innocente jusqu’à ce que sa culpabilité ait été légalement établie au cours d’un procès public où toutes les garanties nécessaires à sa défense lui auront été assurées.”



Ca n’a aucun rapport avec essaye d’empêcher les policiers de faire leur travail.

Donc explique nous encore une fois ce que tu cherches à obtenir en ralentissant la police ? Si tu es innocent, tu coutes de l’argent à la société et tu empêches les policiers de s’attaquer aux délinquants. Et si tu es coupable… ah oui… là, je comprends.







Donc un innocent doit faciliter le travail des policiers ? ^^ C’est nouveau ça ? ^^ Tu seras pas un partisan du “si tu n as rien à te reprocher alors tu n’as rien à cacher” ?











ActionFighter a écrit :



Je ne pense pas que les services spécialisés vont suivre l’indication “cliquez sur Ok pour formater le disque dur” <img data-src=" />



Tous les flics ne s’appellent pas Marcel Patulacci <img data-src=" />







Ça se décrypte facilement des algorithmes de chiffrement AES- 128 et AES-256 ? <img data-src=" />









RaoulC a écrit :



tu met du porn perso (des selfies hots) et tu prétend que c’est pour pars que tes enfants qui utilisent aussi le pc tombent dessus <img data-src=" />





cf mon histoire ci-dessus, les photos de sa femme n’ont pas tellement convaincu le petit chauve hein.









AnthoniF a écrit :



PGP Deskpot pour la vie, décrypte moi si tu peux ! <img data-src=" />



TrueCrypt c’est hasbeen depuis belle lurette, décryptage facile par les Gendarmes du net <img data-src=" />







Ouais, PGP , un truc dont tu n’a pas les sources <img data-src=" />

Quand aux “Gendarmes du Net” qui pètent TC.. Source?









Khalev a écrit :



les dév de TrueCrypt sont anonymes.







En général, ce genre d’info ne m’encourage pas des masses à accorder ma confiance à un soft, qu’il soit Open source ou pas. -:/




Le 30/05/2014 à 12h53