Alors que le logiciel TrueCrypt a été stoppé net dans son développement, officiellement parce qu'il s’avérerait périlleux à utiliser, les membres de l'initiative Open Crypt Audit Project ont fait savoir qu'ils comptaient poursuivre l'audit de sécurité du programme. La phase 1 s'est achevée ce printemps et la phase 2 va donc avoir lieu.

"Restez calme et poursuivez". Tel pourrait être le mot d'ordre des instigateurs d'un audit de sécurité en cours sur la version 7.1 de TrueCrypt, alors qu'est apparu sur le site officiel du projet un message d'avertissement expliquant que le logiciel ne serait pas sûr. Alors qu'un flou artistique entoure l'avenir du programme, les membres du "Open Crypt Audit Project" vont continuer à l'ausculter.

"Nous allons continuer de l'avant avec une cryptanalyse formelle de TrueCrypt 7.1 comme promis et espérons livrer un rapport définitif de l'audit dans les prochains mois", ont-ils expliqué, ajoutant dans un second message qu'ils "envisagent plusieurs scénarios, y compris le soutien potentiel à un fork sous une licence libre appropriée avec un build entièrement reproductible".

Au cours de la première phase d'audit, aucune preuve de porte dérobée n'a été détectée dans le code source de TrueCrypt 7.1. Une deuxième phase doit désormais démarrer pour tester en particulier la robustesse du chiffrement employé par le programme et découvrir les conditions dans lesquelles celui-ci pourrait entraîner une faiblesse dans la protection des données.

Depuis la découverte du message publié sur le site de TrueCrypt, de nombreuses hypothèses sont formulées pour expliquer de comprendre la raison de ce coup d'arrêt brutal et inattendu. L'une des pistes en vogue consisterait à dire que l'affaire Snowden a convaincu les agences de renseignement de s'intéresser de beaucoup plus près à ce programme (après tout, Edward Snowden conseillait ce logiciel)

Les versions 6.0a et 7.1a de TrueCrypt ont obtenu la certification de sécurité de premier niveau délivrée par l'ANSSI, qui "permet d’attester que le produit a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par l’ANSSI", via l'analyse de "la conformité du produit à ses spécifications de sécurité" et en mesurant "l’efficacité des fonctions de sécurité".

Partager sur les réseaux sociaux

Articles liés