TrueCrypt : une drôle d’affaire !
31 décembre 2014
L’annonce de l’abandon aussi soudain qu’inattendu du projet TrueCrypt à l’automne 2013, alors que l’affaire Snowden battait son plein, a surpris tous les spécialistes de la sécurité informatique ou cybersécurité. Des tas de bruits ont couru : présence d’une porte dérobée, pression des autorités américaines. Chacun y est allé de son explication. Le plus curieux, sans doute, est que les anciens développeurs du projet ont demandé à leurs utilisateurs de migrer vers… BitLocker, un outil de chiffrement de disque fourni par Microsoft !
Et pourtant…
En 2009, TrueCrypt obtenait de l’ANSSI une qualification de sécurité d’une durée de 1 an pour la version 6.0a. La plus haute autorité française en matière de sécurité renouvelait la certification de premier niveau à l’occasion de la sortie de la version 7.1a en 2013. De leurs côtés, deux éminents spécialistes en sécurité, la société iSec et Xavier de Carné de Carnavalet, concluaient récemment à l’absence de backdoor dans le code de TrueCrypt.
Quelles alternatives ?
Le projet TrueCrypt fait aujourd’hui l’objet de différents forks dont le plus abouti est VeraCrypt, piloté par la société Idrix. On attend toujours la sortie imminente du projet suisse CipherSeed qui n’a pas évolué depuis le mois de juin !
Signalons enfin Zulucrypt, une interface sous Linux qui s’appuie sur l’utilitaire cryptsetup et sur le module noyau dm-crypt.
A lire sur le sujet :