Chiffrement des données : des failles critiques dans VeraCrypt
C'est un audit qui a été d'une extrême utilité.
Synthétisé par l’initiative Open Source Technology Improvement Fund (OSTIF), qui a encadré l'audit de VeraCrypt, le travail effectué par la société française QuarksLab a mis en lumière un total de 26 problèmes dont la gravité est plus ou moins prononcée : 8 sont critiques, 3 sont moyennes et les 15 dernières sont mineures ou ne sont que de simples préoccupations.
Malheureusement, la publication de la version 1.19 de VeraCrypt n'a pas pu résoudre l'ensemble des soucis relevés par QuarksLab car les solutions proposées pour enlever certaines failles sont « hautement complexes ». En attendant de savoir s'il est possible de les combler, et le cas échéant, quand, des solutions provisoires ont été ajoutées dans la documentation de VeraCrypt.
Parmi les modifications qui ont été apportées avec VeraCrypt 1.19 figure le retrait complet de l'option de chiffrement basé sur l'algorithme de chiffrement par bloc GOST 28147-89. « L'implémentation était dangereuse. La fonctionnalité pour le déchiffrement des volumes qui ont utilisé cette solution est toujours en place, mais les nouveaux volumes ne peuvent pas être créés avec cette méthode », est-il expliqué.
Il est aussi annoncé la suppression des composants XZip et XUnzip au profit d'une nouvelle bibliothèque pour gérer de fichiers compressés, libzip.
VeraCrypt ainsi que son bootloader (chargeur d'amorçage) ont aussi été réécrits en partie pour résoudre une série de problèmes allant de la corruption de mémoire à l'effacement imparfait de certaines données sensibles, en passant par la frappe au clavier qui n'était pas correctement effacée après l'authentification. La liste peut être consultée directement sur le site de l'OSTIF ou dans l'audit lui-même.
En France, l’État liste VeraCrypt dans son référentiel des logiciels libres.
http://www.numerama.com/tech/190095-chiffrement-de-disque-laudit-de-veracrypt-est-lance.html