Et sinon, quelqu’un sait quel est l’algo de chiffrement qui est utilisé? En dehors des appellations que je trouve un peu pompeuses style T13-SANITIZE (qui est surtout un moyen d’effacer rapidement les données du disque), on trouve pas grand chose sur le sujet… " />

Schopenahouaih a écrit :



Do you really ?

http://brianpuccio.net/excerpts/is_truecrypt_really_safe_to_use









No one knows who wrote TrueCrypt. No one knows who maintains TC. Moderators on the TC forum ban users who ask questions. TC claims to be based on Encryption for the Masses (E4M). They also claim to be open source, but do not maintain public CVS/SVN repositories and do not issue change logs. They ban folks from the forums who ask for change logs or old source code. They also silently change binaries (md5 hashes change) with no explanation… zero. The Trademark is held by a man in the Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova ¹¹⁷⁰⁄₅ Praha CZECH REPUBLIC 18200.) Domains are registered private by proxy. Some folks claim it has a backdoor. Who Knows? These guys say they can find TC volumes:

http://16systems.com/TCHunt/index.html

For these reasons, I won’t use it. Encryption is important and TC looks great and makes great claims, but TC should be more transparent.







Du gros FUD en barre de 10…

-La source de TC est disponible ici si tu veux la compiler/vérifier toi même:

http://www.truecrypt.org/downloads2



-Les développeurs de TC souhaitent évidemment pas s’afficher au grand jour, vu les “demandes” qu’ils pourraient recevoir de certains gouvernements.

-Le hash MD5 d’une source compilée peut varier selon les options et la version du compilateur.

-Le changelog de TC est dispo ici:

http://www.truecrypt.org/docs/?s=version-history



-TC Hunt, je connais, et il ne sert qu’à trouver des fichiers conteneurs, pas à les déchiffrer. Et encore, il applique un bête test du Khi², propre à un chiffrement par AES et à n’importe quel outil ayant comme sortie une distribution statistique gaussienne…



" />

Si la version compilée contient une backdoor, rien ne t’empêche de vérifier le code et de le recompiler toi même.



Et dans le cas d’une faille ou d’un bug, tous les logiciels et OS sont potentiellement suspects, mais le code source de TC est régulièrement audité par des gens dont c’est le métier et qui ont besoin de cette application dans un cadre bien normé.



L’absence de repository est par contre effectivement un manque, quoique le type qui s’intéresse suffisamment au projet peut faire son propre suivi en téléchargeant régulièrement les nouvelles versions et en archivant les anciennes, si vraiment il en a besoin.



Pour la question des dons via paypal, de toute manière n’importe quel moyen de paiement à distance pouvant dépasser un certain montant doit pouvoir être traçable, sinon c’est la porte ouverte au blanchiment d’argent. D’ailleurs, la grande majorité des systèmes de paiement anonymes sont ou ont été utilisés pour des opérations pas très claires: WebMoney à son démarrage, Liberty Reserve, et dans une moindre mesure Bitcoin.



C’est un peu HS ici, mais pour ceux que ça intéresse, un livre blanc sur les circuits financiers liés au paiements anonymes est dispo ici:

http://www.xmco.fr/whitepapers/XMCO-LesNouveauxCircuitsFinanciersClandestins-Sep…

(Je suis pas forcément d’accord avec les conclusions du papier, mais il a le mérite d’être clair et didactique…)