L’audit de VeraCrypt a révélé plusieurs failles dont quelques-unes sont critiques. Une nouvelle version du logiciel de chiffrement de disque a été publiée mais il n’a pas été possible de tout corriger.

C’est un audit qui a été d’une extrême utilité. Enclenché cet été pour évaluer la qualité du code source de VeraCrypt, un programme de chiffrement de disque, il a permis de déceler un certain nombre de faiblesses dans la conception du logiciel. Ces failles ont été corrigées pour la plupart par l’équipe de développement dans la nouvelle version de l’application, numérotée VeraCrypt 1.19.

Disque dur

VeraCrypt est né à la suite du très étrange coup d’arrêt donné au développement de TrueCrypt. Il a été bâti sur la version 7.1a de TrueCrypt. C’est ce qu’on appelle un fork — c’est-à-dire un programme créé à partir du code source d’un autre. Il a été mis au point par la société française Idrix, avec une licence Apache (licence de logiciel libre et open source). Il a profité des audits sur son ancêtre pour inclure des avancées significatives dans son fonctionnement.

Synthétisé par l’initiative Open Source Technology Improvement Fund (OSTIF), qui a encadré l’audit de VeraCrypt, le travail effectué par la société française QuarksLab a mis en lumière un total de 26 problèmes dont la gravité est plus ou moins prononcée : 8 sont critiques, 3 sont moyennes et les 15 dernières sont mineures ou ne sont que de simples préoccupations.

Malheureusement, la publication de la version 1.19 de VeraCrypt n’a pas pu résoudre l’ensemble des soucis relevés par QuarksLab car les solutions proposées pour enlever certaines failles sont « hautement complexes ». En attendant de savoir s’il est possible de les combler, et le cas échéant, quand, des solutions provisoires ont été ajoutées dans la documentation de VeraCrypt.

Parmi les modifications qui ont été apportées avec VeraCrypt 1.19 figure le retrait complet de l’option de chiffrement basé sur l’algorithme de chiffrement par bloc GOST 28147-89. « L’implémentation était dangereuse. La fonctionnalité pour le déchiffrement des volumes qui ont utilisé cette solution est toujours en place, mais les nouveaux volumes ne peuvent pas être créés avec cette méthode », est-il expliqué.

Tout n’a pas pu être corrigé dans l’immédiat

Il est aussi annoncé la suppression des composants XZip et XUnzip au profit d’une nouvelle bibliothèque pour gérer de fichiers compressés, libzip.

VeraCrypt ainsi que son bootloader (chargeur d’amorçage) ont aussi été réécrits en partie pour résoudre une série de problèmes allant de la corruption de mémoire à l’effacement imparfait de certaines données sensibles, en passant par la frappe au clavier qui n’était pas correctement effacée après l’authentification. La liste peut être consultée directement sur le site de l’OSTIF ou dans l’audit lui-même.

En France, l’État liste VeraCrypt dans son référentiel des logiciels libres.

Chiffrement de disque : l’audit de VeraCrypt est lancé

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !