Customize

TrueCrypt : aucune preuve de backdoor dans le code

Discussion in 'Anonymous Pour la Liberté d'Expression' started by benjaltf4_, Apr 16, 2014.

  1. benjaltf4_ Member

    Un audit du logiciel TrueCrypt a conclu qu'il n'y a aucune preuve de porte dérobée ou de code malicieux dans le code source. Une cryptanalyse du programme va désormais être engagée, afin de déterminer sa fiabilité. TrueCrypt propose en effet de chiffrer les données de l'utilisateur sur le disque dur.

    cleclavier.jpg

    Si vous cherchez une solution pour chiffrer vos données sur le disque dur, TrueCrypt est un choix qu'il faut désormais considérer. En effet, le programme vient de faire l'objet d'un audit mené par la société iSec afin de déterminer si son code source contenait une porte dérobée (backdoor) ou des instructions potentiellement nuisibles à son fonctionnement ou à la confidentialité des données.


    Pas de preuve de backdoor ou de code malicieux


    La conclusion de l'audit indique qu'il n'y a aucune preuve de porte dérobée ou code malicieux intentionnel dans les zones [du code] évaluées






    Pour autant, ce n'est pas parce que l'audit n'a rien trouvé qu'il n'y a effectivement rien. D'ailleurs, des failles mineures ont été repérées, mais elles sont décrites comme des bugs involontaires plutôt que des manœuvres visant à corrompre TrueCrypt.



    Interrogé par Ars Technica sur les résultats de l'audit, le professeur de cryptographie Matthew D. Green de l'université Johns-Hopkins a estimé que la "qualité du code n'est pas aussi élevée qu'elle devrait être, mais que d'un autre côté il n'y a rien de catastrophique, ce qui est rassurant


    Le code source de TrueCrypt est accessible à tous pour contre-expertise, tout comme l'audit qui été conduit par iSec.


    Après l'étude du code, la cryptanalyse


    Le contrôle du code source n'est toutefois qu'une étape dans la vérification de TrueCrypt. Commel'indique le site dédié, il y a une seconde phase qui consiste cette fois à effectuer une cryptanalyseformelle. Il s'agit basiquement de tester la robustesse du chiffrement mis en oeuvre par le logiciel et, le cas échéant, dans quelles conditions celle-ci peut être remise en cause.

    Ceux à l'origine de l'audit de TrueCrypt rappellent qu'aucune cryptanalyse complète n'a été effectuée sur TrueCrypt. Or, dans un contexte de surveillance généralisée, ce type d'initiative est plus que jamais souhaitable, d'autant que la NSA ne prend pas de gant pour casser des systèmes de chiffrement (cf le programme Bullrun).


    La certification de l'ANSSI


    Rappelons en outre que les versions 6.0a et 7.1a ont obtenu la certification de sécurité de premier niveau délivrée par l'ANSSI. Celle-ci "permet d’attester que le produit a subi avec succès une évaluation de sécurité par un centre d’évaluation agréé par l’ANSSI notamment en analysant "la conformité du produit à ses spécifications de sécurité et en mesurant l’efficacité des fonctions de sécurité.


    Bruce Schneier, qui fait autorité en matière de sécurité informatique, a salué l'achèvement de la phase 1 et salué à sa façon les conclusions de l'audit, en annonçant qu'il allait continuer à utiliser TrueCrypt.


    http://www.numerama.com/magazine/29095-truecrypt-aucune-preuve-de-backdoor-dans-le-code.html
    • Like Like x 1

Share This Page

Customize Theme Colors

Close

Choose a color via Color picker or click the predefined style names!

Primary Color :

Secondary Color :
Predefined Skins