Mais pourquoi diable les développeurs anonymes du logiciel de chiffrement open-source TrueCrypt ont-ils soudainement claqué la porte en mai 2014, en conseillant à tout le monde de se réfugier vers une solution Microsoft propriétaire, car TrueCrypt ne serait plus sûr ? Si l’on en croit les documents dévoilés par le lanceur d’alerte Edward Snowden, la NSA avait pourtant toutes les peines du monde à déchiffrer les messages encodés avec l’outil, réputé très robuste. Et plusieurs audits du source n’avaient rien trouvé de suspect.
Un an et demi plus tard, le mystère reste entier. Et ce n’est pas la découverte de deux failles par un chercheur du Project Zero de Google (consacré à la découverte de failles de sécurité) qui va changer la donne. Le chercheur en sécurité James Forshaw a en effet trouvé deux failles dans le code de Truecrypt, mais en dégonflant aussitôt l’importance de sa découverte sur Twitter. Il parle de « bugs » involontaires et prévient qu’il ne s’agit pas de « backdoors ».
Even though my #truecrypt bugs weren’t back doors it’s clear that it was possible to sneak them past an audit ????
— James Forshaw (@tiraniddo) 28 Septembre 2015
To clarify my last tweet, not saying the bugs were intentionally added. Just that no matter how much you audit bugs can still sneak through.
— James Forshaw (@tiraniddo) 28 Septembre 2015
Le chercheur avait communiqué ses découvertes à la société française Idrix qui édite VeraCrypt, un logiciel qui reprend le code source de TrueCrypt pour en faire un fork plus robuste encore.
#VeraCrypt 1.15 is out. Fix #TrueCrypt vulnerabilities CVE-2015-7358 & CVE-2015-7359 reported by @tiraniddo. Details on release notes.
— VeraCrypt@IDRIX (@VeraCrypt_IDRIX) 26 Septembre 2015
Les deux failles, CVE-2015-7358 et CVE-2015-7359, sont tout de même évaluées comme « critiques ». Elles permettent une escalade de privilèges pour obtenir des droits d’administrateur.
Le futur de Numerama arrive bientôt ! Mais avant ça, on a besoin de vous. Vous avez 3 minutes ? Répondez à notre enquête