La sûreté de TrueCrypt étant désormais considérée comme incertaine suite à l'apparition d'un message d'avertissement alarmiste sur la page SourceForge du projet, des alternatives sont désormais envisagées. L'ANSSI, si elle reconnaît que l'authenticité de l’annonce est "encore incertaine", en liste cinq.

Depuis la semaine dernière, les spécialistes en sécurité informatique sont dans l'expectative. Alors qu'il s'agissait du logiciel open source le plus réputé pour créer facilement un espace de stockage chiffré, TrueCrypt ne serait finalement pas sûr. En effet, un message d'avertissement est apparu sur la page du projet, indiquant que le programme "pourrait contenir des problèmes de sécurité non corrigés".

Suite à cette mise en garde, les commentaires ont été nombreux pour tenter d'éclaircir la situation. Est-ce une tentative de FUD visant à dissuader les usagers de se servir de TrueCrypt pour protéger leurs données ? Est-ce la NSA qui aurait trouvé un moyen de remettre en cause la sûreté du programme (Edward Snowden conseillait ce logiciel, ce qui a pu inciter l'agence à agir) ? Des pressions ont-elles été exercées ?

La perplexité qui a saisi de nombreux observateurs suite à la publication de ce message a été d'autant plus grande que l'alerte a été accompagnée d'une recommandation étonnante : alors que TrueCrypt est un logiciel open source, il a été conseillé de basculer sur BitLocker, une solution propriétaire de Microsoft, alors même que le géant des logiciels est critiqué pour sa proximité avec la NSA.

Il paraît improbable en l'état actuel des choses que la découverte d'une vulnérabilité critique dans TrueCrypt ait pu décourager les développeurs, au point d'abandonner le développement du logiciel. A priori, il semble que ce coup d'arrêt ait été provoqué par un élément extérieur, car jusqu'à présent aucune preuve de porte dérobée n'a été détectée dans le code source de TrueCrypt 7.1.

La question désormais qui se pose est la suivante : faut-il continuer à utiliser TrueCrypt 7.1 ou bien basculer sur une solution alternative ? Aux yeux de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), il convient de considérer que le support du programme a effectivement été "abandonné" même si "l'authenticité de l'annonce soit encore incertaine".

Bien que l'ANSSI a délivré à TrueCrypt 6.0a et 7.1a une certification de sécurité de premier niveau, le service gouvernemental en charge de la sécurité informatique conseille de regarder du côté des solutions alternatives qui ont été qualifiées ou sont "en cours de qualification". Cinq propositions ont été retenues, chacune "offrant des fonctions semblables" à TrueCrypt, selon l'agence :

  • Cryhod ;
  • Zed  ! ;
  • ZoneCentral ;
  • Security Box ;
  • StormShield.

Rappelons que si le statut de TrueCrypt est incertain, l'audit de sécurité se poursuit. Après l'analyse du code source, qui n'a rien révélé d'anormal, la prochaine phase consiste à effectuer cryptanalyse formelle pour valider la robustesse de la solution pour chiffrer des données.

Partager sur les réseaux sociaux

Articles liés