Lancé à la suite des révélations d'Edward Snowden sur la NSA, l'audit du logiciel de chiffrement TrueCrypt s'était interrompu après un message de ses développeurs l'accusant d'être vulnérable. La première partie de l'audit n'avait trouvé aucun souci particulier dans le code source. Après un long flottement, la deuxième partie de l'audit est finalement engagée.

À l'automne 2013, une campagne de financement participatif a été lancée afin de mener l'audit de TrueCrypt, qui est un très célèbre logiciel de chiffrement de disque. Lancé par Matthew Green (un professeur en cryptographie), Marcia Hoffman (une avocate spécialisée dans la technologie) et Kenneth White (un spécialiste en sécurité informatique), le projet a obtenu plus de 46 000 dollars.

Après plusieurs mois de travail, une première phase dans l'analyse a été menée à bien avec la publication d'un rapport le 15 avril 2014.

La vérification du code source, qui a été confiée à la société iSec, n'a pas permis de déceler une altération du programme. En somme, TrueCrypt n'est priori pas vicié et peut être utilisé avec une confiance raisonnable, dans la mesure où aucune porte dérobée n'a été repérée, même si des faiblesses au niveau de la programmation ont été soulignées à certains endroits.

Un mois plus tard, coup de théâtre : l'équipe anonyme en charge du développement du logiciel a publié un message d'avertissement sur le site officiel. Ces derniers affirment que la nouvelle version de TrueCrypt "n'est pas sûre" et livrent un conseil étonnant : il faudrait, d'après eux, utiliser BitLocker, la solution propriétaire (et donc qui ne peut pas être contrôlée) de Microsoft.

À la suite de cet évènement, le projet Open Crypto Audit s'est retrouvé sur la sellette.

Fallait-il enclencher la seconde phase de l'audit, portant cette fois sur une cryptanalyse formelle des fonctions de chiffrement du programme afin de découvrir d'éventuelles erreurs dans leurs implémentations, alors que les développeurs de TrueCrypt pointaient la vulnérabilité de leur logiciel ? Ou était-il préférable de soutenir des projets alternatifs dérivés de TrueCrypt, comme CipherShed ?

Cette hésitation a paralysé le projet Open Crypto Audit pendant de longs mois, du fait des sommes importantes qui avaient été récoltées avec le financement participatif. Celle-ci ayant été lancée à la suite des révélations d'Edward Snowden sur les activités de la NSA, Matthew Green, Marcia Hoffman et Kenneth White voulaient ne pas gaspiller l'argent des internautes en faisant le mauvais choix.

Finalement, une décision a été prise : le projet Open Crypto Audit poursuit son travail sur TrueCrypt. La seconde phase s'engage donc, avec un partenariat établi avec l'entreprise NCC Group North America. L'analyse se fera sur la version 7.1a de TrueCrypt, qui sert de point de départ aux autres alternatives. Ainsi, la cryptanalyse devrait profiter indirectement aux autres projets.

Partager sur les réseaux sociaux

Articles liés