Même si deux failles ont été trouvées dans le code source de TrueCrypt, elles ne sont pas d'une importance telle qu'elles justifiaient d'abandonner subitement l'outil de chiffrement de disques durs virtuels, dans des conditions aussi étranges qu'absurdes.

Mais pourquoi diable les développeurs anonymes du logiciel de chiffrement open-source TrueCrypt ont-ils soudainement claqué la porte en mai 2014, en conseillant à tout le monde de se réfugier vers une solution Microsoft propriétaire, car TrueCrypt ne serait plus sûr ? Si l’on en croit les documents dévoilés par le lanceur d’alerte Edward Snowden, la NSA avait pourtant toutes les peines du monde à déchiffrer les messages encodés avec l’outil, réputé très robuste. Et plusieurs audits du source n’avaient rien trouvé de suspect.

Un an et demi plus tard, le mystère reste entier. Et ce n’est pas la découverte de deux failles par un chercheur du Project Zero de Google (consacré à la découverte de failles de sécurité) qui va changer la donne. Le chercheur en sécurité James Forshaw a en effet trouvé deux failles dans le code de Truecrypt, mais en dégonflant aussitôt l’importance de sa découverte sur Twitter. Il parle de « bugs » involontaires et prévient qu’il ne s’agit pas de « backdoors ».

Le chercheur avait communiqué ses découvertes à la société française Idrix qui édite VeraCrypt, un logiciel qui reprend le code source de TrueCrypt pour en faire un fork plus robuste encore.

Les deux failles, CVE-2015-7358 et CVE-2015-7359, sont tout de même évaluées comme « critiques ». Elles permettent une escalade de privilèges pour obtenir des droits d’administrateur.

Partager sur les réseaux sociaux

Articles liés