TrueCrypt : Le Roi est mort, vive le Roi

closeCet article a été publié il y a 7 ans 2 mois 12 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

C’est assez malheureux, mais voilà, pour qui n’avait pas suivi l’actualité, le développement de TueCrypt s’était arrêté en 2014 dans des circonstances toujours douteuses aujourd’hui. Si dans certains cas l’utilisation de la version 7.1a est toujours sécurisée, l’idéal est d’envisager dès maintenant des alternatives fiables, et si possible au même niveau de portabilité.

Petit retour sur le drame

Courant 2014, un mystérieux message des développeurs de TrueCrypt annonce la fin du développement, propose une version 7.2 assez étrange, et recommande, pour les Windowsiens, d’utiliser BitLocker, une solution de chiffrement de partitions intégrée à l’OS de Microsoft (seulement disponible pour les versions pro, le grand public démerdez-vous).

Commence alors un joyeux bordel autour des solutions pour disposer d’un stockage robuste (dans le sens chiffrement du terme), avec plusieurs voix qui s’élèvent pour se présenter en « digne » héritier du vénérable tombé au combat. En parallèle un projet d’audit du code de Truecrypt avait été lancé, et a continué pour véritablement valider ou pas que le logiciel était fiable.

Quelques morceaux de l’armure tiennent encore

Le fameux audit révèle plusieurs problèmes, mais il faut bien garder à l’esprit que le logiciel fonctionne de plusieurs façons : chiffrer directement les partitions, ça devient problématique. Par contre, le fonctionnement que je vous ai décrit lors de ma présentation, à savoir un volume « portable » sous forme de fichier, fonctionne encore de manière sécurisée.

Malgré tout, le logiciel n’étant plus du tout maintenu, le restant de la forteresse ne tiendra pus longtemps, il est temps de passer à autre chose. Et j’ai été rappelé à l’ordre, de manière assez agressive certes, par mail pour me rappeler qu’il était dangereux de laisser un article vieux de deux ans conseiller un logiciel non sûr. En prêchant pour sa paroisse avec un article qui présente différentes alternatives, et là, c’est bonheur, parce que la moitié des solutions proposées sont à éviter comme la peste. Et ça n’aide pas à accorder sa confiance dans un logiciel.

TrueCrypt.ch, la roue de secours le temps de remplacer le pneu original

Ce site propose au téléchargement les versions originales et « propres » de TrueCrypt. Je conseille de s’en servir si vous avez besoin d’ouvrir un volume le temps d’en récupérer le contenu et de le placer dans un conteneur plus récent créé avec un logiciel à jour (on en parlera après).

Gostcrypt, bizarre

Le projet dit être en branle suite aux révélations Snowden, comme un fork de TrueCrypt, mais y’a un truc qui cloche. Les archives au téléchargement datent de novembre 2012, alors que l’ancien contractant de la NSA a rendu public ses découvertes en Juin 2013. Et donc rien depuis 4 ans maintenant, donc même sans parler de l’intérêt à propos de l’algorythme présenté, non merci (d’ailleurs il a été retiré d’un autre « concurrent » récemment).

Le compte Twitter a été ouvert en 2014 sans jamais avoir d’activité. Et en fait, en continuant de fouiller, on découvre au fin fond de la boutique, un wiki sur lequel on a de l’activité, en Janvier… 2016. Soit un an sans communication réelle. Et l’installation est loin d’être triviale.

CipherShed, nope

Un autre fork de TrueCrypt, et là, c’est la fête : le site officiel n’existe plus, le dépôt Github n’a plus vu d’activité depuis plus d’un an. Je n’ai retrouvé qu’une page Wikipedia, qui effectivement fait état du site perdu. Donc pas de futur clair, victoire par abandon.

UPDATE du 21/04/2018 : Apparemment le site est revenu, le dépôt a vu une activité fin 2017, la page Wikipedia a disparu, alors je sais pas quoi en penser, ça me donne pas plus confiance en fait…

Les solutions de chiffrement intégrés aux systèmes d’exploitation, oui mais…

Ces solutions-là sont effectivement viables, mais elles limitent par nature leur utilisation à un seul système. L’avantage de TrueCrypt est que si l’on chiffre une partition Windows, on peut l’ouvrir sous Linux également (récupération en cas de crash de l’OS par exemple), ou sous Mac. Alors qu’un volume chiffré nativement  sous Mac ne sera ouvrable que sous Mac, pareil pour Windows, et LUKS n’échappe pas à la règle sous Linux. J’évite donc de les utiliser (surtout je n’en ai pas l’usage pour l’instant). Mais ce sont des solutions viables et utilisables si vous êtes motivés.

VeraCrypt, seul candidat potable ?

Quand je parle de potable, c’est que j’ai mis longtemps à mettre ma confiance dans TrueCrypt, le process de déplacer cette confiance dans VeraCrypt est donc encore tout frais. Mais d’un point de vue fonctionnel, d’un point de vue gouvernance du code (chapeauté par une société française), activité de ce code, et reconnaissance par des autorités reconnues, c’est le meilleur candidat à l’heure actuelle.

Depuis un certain temps, VeraCrypt a même rétabli l’ouverture « native » des conteneurs créés avec TrueCrypt. Bon pas de bol, pour ma part ça n’a pas fonctionné. Je suis donc dans le process de refaire tous mes conteneurs, ça sera l’occasion de sélectionner d’autres algorithmes.

Sinon pas besoin d’en faire étalage, son fonctionnement est peu ou prou le même que celui de TrueCrypt, donc vous pouvez reprendre ce qui existe déjà, et certains ont également du écrire sur ce nouveau prétendant.


Je vais éviter de faire mon salaud en vous linkant l’article original qui m’a poussé à écrire sur le sujet, et ce même si la personne qui m’a contacté par mail a été peu courtoise dans son insistance. Évidemment je vais mettre à jour mon billet original pour pointer sur celui-ci.

 

12 Commentaires
Le plus ancien
Le plus récent
Commentaires en ligne
Afficher tous les commentaires
Julien HOMMET
16/01/2017 22:03

Je suis un peu de ton avis, il n’y a pas de réels candidats face à TrueCrypt ! Il a toujours été costaud et robuste par rapport aux « autres ». VeraCrypt continue son bonhomme de chemin, semble être efficace mais… est-il aussi « sûr » que TrueCrypt ? (limite paradoxal…)

Elestyr
Elestyr
17/01/2017 00:13
Répondre à  Julien HOMMET

C’est un fork, pourquoi il ne serait pas « aussi sûr » ?

Kevin V.
17/01/2017 13:23
Répondre à  Julien HOMMET

Autant qu’on puisse en juger, oui. VC a repris le code de TC, en corrigeant toutes les failles soulevées dans l’audit et en améliorant la sécurité générale (plus d’itérations, par exemple, donc bien plus difficile à « brut forcer »). En plus, VC est en train de subir un audit : https://ostif.org/we-have-come-to-an-agreement-to-get-veracrypt-audited/

Complément d’informations : http://www.nextinpact.com/news/101014-mounir-idrassi-veracrypt-les-portes-derobees-qui-nacceptent-quune-personne-nexistent-pas.htm

Lelent
Lelent
17/01/2017 08:34

Il y a un épisode de NoLimitSecu consacré à VeraCrypt qui est bien intéressant :
https://www.nolimitsecu.fr/veracrypt/

Éric
Éric
17/01/2017 09:26

Nous, au boulot, on nous suggère d’utiliser AxCrypt… Mais peut être n’est il utilisable que sur des fichiers… J’avoue pas encore avoir testé.
Éric

Kevin V.
17/01/2017 14:41
Répondre à  Éric

Je dirais que le deux programmes ont une utilité différente. AxCrypt est surtout utile pour de l’archivage et du transfert sécurisé, alors que VC permet de travailler directement sur les fichiers chiffrés. Je m’explique. AxCrypt permet de chiffrer des fichiers, mais pour travailler avec ledit fichier, il faut d’abord le déchiffrer. Le fichier sera donc en clair sur le disque à un moment ou un autre. Avec VC, on crée des conteneurs (ou des partitions, mais là n’est pas le propos) dans lequel les données sont chiffrées. Comme les conteneurs sont montés comme des disques standards, on travaille directement sur… Lire la suite »

Éric
Éric
19/01/2017 11:48
Répondre à  Kevin V.

Merci pour ton retour !

bobdinar
bobdinar
17/01/2017 09:36

Il me semble que vous êtes mal informé sur le processus. Vous manquez d’information et je trouve bizarre que l’on en parle maintenant…

Eldrad
Eldrad
17/01/2017 10:16

algorythmes -> algorithmes.

Not A Robot
17/01/2017 15:40

Pour info Veracrypt a été audité (plus d’une fois il me semble) et cela permet de faire avancer le projet tout en montrant que le code est « ‘sain » et par sain je veux dire pas de backdoor constatée.