TrueCrypt - Chiffrement de disque

TrueCrypt - Chiffrement de disque

vendredi 20 novembre 2015

TrueCrypt n’a pas de « porte dérobée » ni de faille majeure.

Les rapports des deux audits de sécurité du code source de la version 7.1a déclarant qu’il n’existe pas de faille majeure dans le chiffrement rassurera l’ensemble des utilisateurs de TrueCrypt.

Comme annoncé en décembre 2013, iSEC Partners (iSEC) a travaillé avec le projet « Open Crypto Audit » (OCAP) avec pour objectif final d’effectuer une analyse méthodique de TrueCrypt grâce à l’examen complet du code et au test de pénétration.

Le projet Open Crypto Audit (OCAP) est une organisation qui essaie de répondre à des questions importantes pour la communauté de la cryptographie, y compris celles concernant la confiance dans TrueCrypt.

  • Le rapport de la phase 1 de l’audit a été publié le 14 avril 2014.
  • Le rapport de la phase 2 avec analyse complète a été publié le 18 février 2015.

Verdict : il n’y a rien de dangereux à signaler.

  • iSEC n’a identifié aucun problème considéré comme "très grave".
  • iSEC n’a trouvé aucune « porte dérobée ou de défauts intentionnels.
  • Plusieurs faiblesses et vulnérabilités courantes du noyau ont été identifiées, mais aucune d’entre elles ne présente de vecteurs d’exploitation.
  • Dans l’ensemble, iSEC pense que des modifications peuvent être apportés pour améliorer la qualité du code et la maintenance du logiciel.

L’institut Fraunhofer confirme les résultats de l’audit fait par iSEC Partners.

En Allemagne, le 16 novembre 2015 un important rapport a été remis par le Bureau fédéral de la sécurité des informations (BSI). Le responsable de cet audit, le professeur Eric Bodden de l’institut Fraunhofer, explique :

Sur un délai d’environ six mois, avec d’autres collègues de Fraunhofer SIT, notre groupe a effectué une analyse de sécurité complète du logiciel de chiffrement TrueCrypt. Au nom du BSI, nous avons examiné TrueCrypt pour les vulnérabilités, à la fois au niveau conceptuel et au niveau du code de programme. Dans ce cadre nous avons également examiné les résultats des précédentes évaluations de sécurité.

En conclusion, je dirais que la base du code de TrueCrypt est très bien. Les défauts que nous avons trouvés étaient mineurs, et des défauts similaires peuvent se produire également dans toute autre implémentation de fonctions cryptographiques. Cependant, la qualité du code pourrait être améliorée, car certains endroits nécessitent une refactorisation et certainement une meilleure documentation. Mais généralement, le logiciel fait pour quoi il a été conçu.

Conclusion : l’institut Fraunhofer accorde sa confiance à TrueCrypt.

Notez toutefois que les concepteurs d’origine ont documenté tout au long du développement que TrueCrypt ne peut pas correctement protéger les données sur un système en cours d’exécution sur un réseau (Internet). En effet le logiciel n’est pas conçu pour résister à des attaques actives du type keyloggers (enregistreurs de frappe) et d’autres types de malwares.

Si une telle protection est souhaitable, elle ne peut pas remplacer les solutions qui utilisent des cartes à puce ou un autre stockage de clé basé sur le matériel afin que la clé de cryptage soit mieux gardée et sécurisée.

Télécharger les dépôts vérifiés de TrueCrypt v. 7.1a - Open Crypto Audit Project (GitHub)


Anonymous Shop

Montrer votre soutien en supportant Anonymous avec des designs hors du commun réalisés par des créateurs indépendants. T-shirt et Sweat à capuche en vente ici : de la production au service après-vente, Spreadshirt est le professionnel de l’impression à la demande.

NordVPN meilleur VPN.

Protégez tous vos appareils.

Abonnement 2 ans | Remise de -72%
Anonymous Shop

Montrer votre soutien en supportant Anonymous avec des designs hors du commun réalisés par des créateurs indépendants. T-shirt et Sweat à capuche en vente ici : de la production au service après-vente, Spreadshirt est le professionnel de l’impression à la demande.

NordVPN meilleur VPN.

Protégez tous vos appareils.

Abonnement 2 ans | Remise de -72%
Anonymous Révolution 2.0

Anonymous Révolution 2.0

Communiqué de Presse Anonymous. Opération Révolution 2.0. AnonOps Info : Anonymous et le mouvement « Occupy » font front commun avec #REvolution2.0 (...)


Semaine Internationale d'actions Antispeciste

Semaine Internationale d’actions Antispeciste

Un appel international pour une semaine d’action contre le spécisme du 30 octobre au 5 novembre, a été lancé a travers les médias sociaux. Il (...)


Merci à vous pour vos combats

Merci à vous pour vos combats

Bonjour, Parce que je suis maman, Parce que je ne veux pas devoir un jour expliquer à ma fille que pendant ce temps là... je n’ai rien fait... Parce (...)


Le Crypto-Anarchisme contre la surveillance de masse

Le Crypto-Anarchisme contre la surveillance de masse

Crypto-Anarchisme et « Electronique Libre. » A l’ère post Snowden, la presse généraliste, les « Main Stream Média - MSM » et une bonne partie de la (...)


Anonymous Opération NSA

Anonymous Opération NSA

Peuple du Monde Libre : Anonymous remercie Edward Snowden. Grâce à son courage, le monde est maintenant au courant de l’infâme programme de (...)


Anonymous France cloné - Piège à Cons ?

Anonymous France cloné - Piège à Cons ?

Cloner un site Internet pour tromper et piéger les visiteurs. Anonymous ne se contente pas de philosopher. Les « Anons » se rappellent très souvent (...)


WikiLeaks

Soumettre des documents à WikiLeaks

WikiLeaks publie des documents d’importance politique ou historique censurés ou cachés au public.


/e/ Foundation
eFoundation est une organisation à but non lucratif qui dirige le développement de systèmes d'exploitation mobiles Open Source respectant la confidentialité des données des utilisateurs.

Tor Browser
Tor Browser
Tor protège contre la surveillance

NordVPN
Protégez tous vos appareils.
Abonnement 2 ans | Remise de -72%