En direct
Best of
Best of du 14 au 20 novembre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Rachida Dati : "Nous sommes à deux doigts d'une explosion de notre pays"

02.

La Chine s'est éveillée, le monde peut trembler

03.

Voilà les meilleurs gadgets à acheter pour se créer un home cinéma de compétition pour le confinement

04.

Doubler le PIB chinois d’ici 2035 ? Voilà pourquoi l’objectif de Xi Jinping est un pur fantasme

05.

Russie-Turquie-Iran : la triplette géopolitique qui a réussi à profondément changer notre monde sans que nous réagissions

06.

Qui a peur de Jean-Michel Blanquer ?

07.

Covid-19 : mais pourquoi l’isolement des cas positifs est-il si difficile en France ?

01.

Julie Gayet tente de sauver son couple, Ingrid Chauvin liquide le sien, celui de Nabilla tangue; Sophie Marceau fait des câlins aux arbres, Aya Nakamura se la pète; Meghan Markle & Katy Perry, voisines et ennemies, Kylie & Kendall Jenner soeurs et idem

02.

Boycott de CNews : quand Decathlon veut faire du profit sur le dos de la liberté d’expression

03.

Carnage en vue sur les banques européennes ?

04.

Qui a peur de Jean-Michel Blanquer ?

05.

Quand Barack Obama démontre que Nicolas Sarkozy est juif

06.

Covid-19 : radioscopie des racines de la faillite morale de l’Etat français

01.

Quand Barack Obama démontre que Nicolas Sarkozy est juif

02.

Covid-19 : radioscopie des racines de la faillite morale de l’Etat français

03.

Barbara Pompili et Eric Dupond-Moretti annoncent la création d'un "délit d'écocide"

04.

Aucun lien entre le terrorisme et l'immigration !

05.

Projet de loi séparatisme : un arsenal qui alterne entre le trop et le trop peu

06.

Boycott de CNews : quand Decathlon veut faire du profit sur le dos de la liberté d’expression

ça vient d'être publié
pépite vidéo > France
Déconfinement en trois étapes
Covid-19 : retrouvez l’intégralité de l’allocution d’Emmanuel Macron sur le déconfinement
il y a 7 heures 12 min
pépites > Politique
Feu vert en première lecture
Loi sur la "sécurité globale" : l'Assemblée nationale adopte le texte controversé, à 388 voix pour et 104 voix contre
il y a 10 heures 13 min
pépites > Santé
Crise de défiance
Coronavirus : un quart des Italiens croient aux théories complotistes sur la pandémie
il y a 11 heures 4 min
pépites > Politique
Premier ministre
Loi "sécurité globale" : Jean Castex va saisir le Conseil constitutionnel sur l'article 24
il y a 12 heures 36 min
décryptage > Culture
Atlanti Culture

"Putzi - Le pianiste d’Hitler" de Thomas Snégaroff : un petit bonhomme au service de l’ascension d’Hitler, un portrait éclairant largement documenté

il y a 14 heures 21 min
décryptage > International
Le point de vue de Dov Zerah

La Chine s'est éveillée, le monde peut trembler

il y a 15 heures 15 min
décryptage > Culture
Repenser nos modèles

L’expérience immersive : pour sauver la culture et le savoir

il y a 16 heures 31 min
décryptage > Santé
Lieux de contaminations ?

Réouverture des petits commerces, restaurants, lieux de cultes et culturels… : voilà pourquoi (et comment ) le risque sanitaire peut être maîtrisé

il y a 17 heures 11 min
pépite vidéo > Politique
"La France se disloque"
Rachida Dati : "Nous sommes à deux doigts d'une explosion de notre pays"
il y a 17 heures 42 min
light > High-tech
Bug
Des clients britanniques d'Amazon acheteurs de la nouvelle PlayStation 5 se sont vus livrer à la place des objets qui n'ont aucun rapport avec elle
il y a 18 heures 16 min
pépites > Politique
Calendrier du déconfinement
Covid-19 : Emmanuel Macron confirme que "le confinement pourra être levé" le 15 décembre "si les objectifs sanitaires sont atteints"
il y a 7 heures 36 min
pépites > France
Chantier de la reconstruction
Notre-Dame de Paris : le démontage de l'ancien échafaudage est enfin terminé
il y a 10 heures 39 min
light > Sport
Monde du rugby en deuil
Mort de Christophe Dominici à l’âge de 48 ans
il y a 12 heures 24 min
décryptage > Culture
Atlanti Culture

"Aurélien" de Louis Aragon : un amour improbable dans le Paris des années 20... un roman à relire toutes affaires cessantes

il y a 14 heures 7 min
pépites > Santé
Covid-19
L'exemple de l'aéroport de Shanghai montre la rapidité de réaction de la Chine face au coronavirus
il y a 14 heures 40 min
décryptage > Politique
Mesures gouvernementales

Un jeune, une solution : un ministère (du travail), mille problèmes…

il y a 16 heures 5 min
pépites > Justice
Police
L'IGPN saisie après l'action de la police pour enlever les tentes installées par des associations et des militants place de la République hier soir
il y a 16 heures 42 min
pépites > Politique
Justice
Alain Griset, ministre des PME, mis en cause par la Haute Autorité pour la Transparence de la Vie Publique pour non déclaration de participations financières
il y a 17 heures 39 min
décryptage > International
Diplomatie

La nouvelle alliance entre Israël et les pays sunnites du Golfe est-elle de taille à résister à l’Iran ?

il y a 18 heures 12 min
décryptage > Europe
L’union fait l’insouciance

L’Europe, puissance naïve dans un monde de brutes ?

il y a 18 heures 34 min
© Reuters
© Reuters
Logiciel de cryptage

Mais que s’est-il vraiment passé chez Truecrypt ?

Publié le 08 juin 2014
Avec H16
Depuis le mercredi 28 mai, le site dédié au logiciel de chiffrement TrueCrypt affiche une mise en garde concernant les dangers potentiels de son utilisation. Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion car aucune précision n'a été donnée, laissant pantois.
H16
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
H16 tient le blog Hashtable.Il tient à son anonymat. Tout juste sait-on, qu'à 37 ans, cet informaticien à l'humour acerbe habite en Belgique et travaille pour "une grosse boutique qui produit, gère et manipule beaucoup, beaucoup de documents".
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Depuis le mercredi 28 mai, le site dédié au logiciel de chiffrement TrueCrypt affiche une mise en garde concernant les dangers potentiels de son utilisation. Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion car aucune précision n'a été donnée, laissant pantois.
Avec H16

Une tempête a soufflé la semaine dernière sur Internet. Oh, pas une de ces tempêtes médiatiques basée sur un lolcat truculent, un président enscooterifié ou un buzz médiatique facile, et c’est probablement pour cela que vous n’en avez pas entendu parler. Il n’en reste pas moins que ce qui s’est passé autour de Truecrypt est particulièrement intéressant.

Avant d’aller plus loin, rappelons que Truecrypt est un logiciel gratuit, dont le code source est disponible, qui permet de chiffrer des données sur un disque dur. Le chiffrage est ainsi fait que l’utilisateur légitime, qui fournit son mot de passe au démarrage de la machine, ne voit pas la différence avec un disque dur normal (non chiffré) ; l’encryptage est réalisé à la volée, de façon transparente pour le système d’exploitation ou l’utilisateur. En revanche, un utilisateur qui ne dispose pas de la clé d’accès ne pourra pas lire le disque ainsi chiffré.

Ce logiciel existe depuis une dizaine d’années, et son mode de fonctionnement très simple mais efficace lui a valu une excellente renommée auprès de ses millions d’utilisateurs. Le cryptage utilisé (qui peut être basé sur AES, Serpent et Twofish) est suffisamment solide pour que le FBI, notamment, ne parvienne pas à le casser dans une affaire financière où des disques, saisis comme pièces à conviction, n’ont pas livré leurs secrets après des mois d’analyse par le bureau fédéral américain.

C’est donc avec consternation que mercredi 31 mai, la page officielle du logiciel qui présentait le produit a été remplacée par une page rudimentaire expliquant essentiellement que Truecrypt n’est pas sûr, et que l’utiliser ne permet pas d’assurer la confidentialité de ses données. La consternation est d’autant plus grande que l’ensemble du message est rédigé et signé avec les clés habituelles des développeurs officiels du produit, et qu’il invite les utilisateurs à se rabattre sur Bitlocker pour Windows, produit notoirement connu pour disposer de facilités spécifiques de décryptage pour les autorités américaines. Or, jusqu’à présent, Truecrypt avait pour lui d’avoir résisté à l’épreuve du temps en n’ayant jamais présenté de grandes vulnérabilités. En outre, un audit de la cryptographie utilisée est actuellement en cours pour déterminer sa solidité générale. Les failles rapportées en avril dernier ne montraient en tout cas rien qui permette de classer le produit comme à ce point dangereux à utiliser. D’ailleurs, l’un des pontes de la cryptographie, Bruce Schneier, expliquait récemment continuer à utiliser le produit malgré les quelques problèmes découverts.

Le reste de l’audit permettra peut-être de trouver une faille suffisamment importante pour remettre en cause le modèle utilisé par Truecrypt depuis 2004, année de son apparition, mais on peut légitimement en douter. En tout cas, les exécutables des versions historiques, disponibles sur la version précédente du site avant ce revirement dramatique, n’ont pas montré d’anomalies douteuses.

La situation est donc particulièrement étrange puisqu’on découvre qu’une équipe, qui a travaillé pendant dix ans sur un produit qui a déjà largement prouvé son efficacité, vient de saborder complètement son travail en redirigeant ses utilisateurs vers des alternatives douteuses. Les rumeurs vont évidemment bon train sur les forums spécialisés, mais essentiellement, trois hypothèses surnagent au milieu des différentes possibilités plus ou moins farfelues :

  • D’une part, il pourrait bien y avoir une grosse faille de sécurité, grosse au point que les développeurs ont préféré saborder leur outil plutôt que l’admettre ou tenter de la réparer. C’est évidemment une réaction très étrange d’autant que le code source, largement disponible, aurait permis une correction rapide par la communauté des développeurs intéressés à la survie et à la maintenance du projet.
  • D’autre part, il pourrait s’agir d’une méthode de la part de l’équipe de développement pour laisser tomber tout support du produit, et inciter (par la peur, donc) le reste du monde à reprendre en charge le développement. Cette hypothèse intéressante est développée ici, et permet en tout cas de relativiser la disparition de la page officielle et des codes sources des précédentes versions. Du reste, internet étant ce qu’il est, on trouve facilement des bibliothèques qui contiennent toutes les versions de Truecrypt jusqu’à mercredi dernier.
  • Enfin, la nouvelle page du site rapidement bricolée tendrait à faire penser à un « warrant canary », expression américaine utilisée dans un cas assez spécifique de législation américaine : en substance, lorsqu’un fournisseur de service reçoit une assignation secrète (essentiellement celles en lien avec le Patriot Act, article 18 U.S.C. §2709(c)), il lui est interdit de divulguer à des tiers son statut légal (grossièrement équivalent à une mise en examen), mais il peut, sur demande d’un client, indiquer si, sur une période donnée, il n’était pas sujet à une telle assignation. Par analogie, l’acte étrange de l’équipe de développement de Truecrypt serait une forme de mise en garde minimaliste permettant de prévenir les utilisateurs que l’ensemble de l’équipe a subi des menaces ou des pressions de la part d’une organisation gouvernementale et qu’à ce titre, l’ensemble des développements de Truecrypt est sujet à caution.

 

L’avenir dira peut-être ce qu’il en est exactement, mais au-delà des péripéties qui secouent actuellement le monde de la cryptographie et celui, plus large, des logiciels de chiffrement de disques à la volée, on peut néanmoins noter qu’encore une fois, la communauté Internet a prouvé sa capacité d’organisation. En effet, moins d’une semaine après l’annonce surprise de l’abandon de Truecrypt est apparu un nouveau site, Truecrypt.ch, dont les auteurs entendent reprendre le flambeau, incorporer les corrections éventuelles que l’audit, toujours en cours, auraient jugées nécessaires, et maintenir le code actuel. On ne peut, à ce stade, présumer de la capacité de ce binôme de développeurs à maintenir le code et le produit, mais leur prompte réaction montre en tout cas que le chiffrement de données personnelles est une idée jugée suffisamment importante pour mobiliser rapidement les énergies.

Et c’est le cas : d’un côté, nous avons des institutions gouvernementales dont les moyens grossissent de façon exponentielle, et dont le but ultime est bien de tout savoir sur vos plus intimes motivations, vos convictions religieuses, politiques ou sentimentales. Pour celles-là, la cartographie précise de chaque être humain est devenu un préalable non seulement nécessaire mais aussi techniquement réalisable (ce qui est encore plus effrayant) à leur soif inextinguible de contrôle. Ces institutions ne reculeront devant aucun moyen pour vous ficher, quand bien même (de l’aveu même de ceux qui y travaillent) la masse de données résultante ne leur sera pas utile pour remplir leur ordre de mission officiel. Terrorisme, crimes et délits, oubliez ça : ces technologies servent d’abord et surtout à surveiller tout le monde.

De l’autre, il n’existe guère que ces moyens cryptographiques pour se préserver quelques domaines de vie vraiment privée, où l’État et ses agences ne pourront venir mettre leur yeux. Il est donc absolument impératif que des systèmes voient le jour, soient maintenus et massivement utilisés pour assurer à chaque humain un minimum de protection contre les grandes oreilles gouvernementales.

Cette affaire Truecrypt montre encore une fois qu’aucune technologie n’est acquise, aucune sécurité n’est trop forte contre les moyens que déploient les États pour asservir leurs populations. Et cette affaire montre aussi, heureusement, que nombreux sont ceux qui en ont conscience et qui sont prêt à sacrifier leur temps et leur savoir pour calmer les ardeurs gouvernementales.

NB : Cet article a été préalablement publié sur le blog d'Hasthable

 

Les commentaires de cet article sont à lire ci-après
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires