Un audit du logiciel TrueCrypt a conclu qu'il n'y a aucune preuve de porte dérobée ou de code malicieux dans le code source. Une cryptanalyse du programme va désormais être engagée, afin de déterminer sa fiabilité. TrueCrypt propose en effet de chiffrer les données de l'utilisateur sur le disque dur.

Si vous cherchez une solution pour chiffrer vos données sur le disque dur, TrueCrypt est un choix qu'il faut désormais considérer. En effet, le programme vient de faire l'objet d'un audit mené par la société iSec afin de déterminer si son code source contenait une porte dérobée (backdoor) ou des instructions potentiellement nuisibles à son fonctionnement ou à la confidentialité des données.

Pas de preuve de backdoor ou de code malicieux

La conclusion de l'audit indique qu'il n'y a "aucune preuve de porte dérobée ou code malicieux intentionnel dans les zones [du code] évaluées". Pour autant, ce n'est pas parce que l'audit n'a rien trouvé qu'il n'y a effectivement rien. D'ailleurs, des "failles mineures" ont été repérées, mais elles sont décrites comme des bugs "involontaires" plutôt que des manœuvres visant à corrompre TrueCrypt.

Interrogé par Ars Technica sur les résultats de l'audit, le professeur de cryptographie Matthew D. Green de l'université Johns-Hopkins a estimé que la "qualité du code n'est pas aussi élevée qu'elle devrait être, mais que d'un autre côté il n'y a rien de catastrophique, ce qui est rassurant".

Le code source de TrueCrypt est accessible à tous pour contre-expertise, tout comme l'audit qui été conduit par iSec.

Après l'étude du code, la cryptanalyse

Le contrôle du code source n'est toutefois qu'une étape dans la vérification de TrueCrypt. Comme l'indique le site dédié, il y a une seconde phase qui consiste cette fois à effectuer une cryptanalyse formelle. Il s'agit basiquement de tester la robustesse du chiffrement mis en oeuvre par le logiciel et, le cas échéant, dans quelles conditions celle-ci peut être remise en cause.

Ceux à l'origine de l'audit de TrueCrypt rappellent qu'aucune cryptanalyse complète n'a été effectuée sur TrueCrypt. Or, dans un contexte de surveillance généralisée, ce type d'initiative est plus que jamais souhaitable, d'autant que la NSA ne prend pas de gant pour casser des systèmes de chiffrement (cf le programme Bullrun).

La certification de l'ANSSI

Rappelons en outre que les versions 6.0a et 7.1a ont obtenu la certification de sécurité de premier niveau délivrée par l'ANSSI. Celle-ci "permet d’attester que le produit a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par l’ANSSI", notamment en analysant "la conformité du produit à ses spécifications de sécurité" et en mesurant "l’efficacité des fonctions de sécurité".

Bruce Schneier, qui fait autorité en matière de sécurité informatique, a salué l'achèvement de la phase 1 et salué à sa façon les conclusions de l'audit, en annonçant qu'il allait continuer à utiliser TrueCrypt.

Partager sur les réseaux sociaux

Articles liés