Après l’arrêt inattendu du développement de TrueCrypt (https://www.synetis.com/2014/06/05/fin-du-projet-truecrypt-solutions), celui-ci a finalement terminé son dernier audit de sécurité qu’avait commencé il y a un peu plus d’un an par l’Open Crypto Project. Voici ce qui a été trouvé :

Tout d’abord, elle n’a montré l’existence d’aucun « backdoor » ou faille grave de sécurité. Malgré cela, 4 vulnérabilités ont été détectées :

Vulnerabilité Classe Niveau
CryptAcquireContext Cryptographie Elevé
AES implementation Cryptographie Elevé
Keyfile mixing Cryptographie faible
Unauthenticated ciphertext Cryptographie Non déterminé

Parmi ces 4 failles, les deux premières ont un niveau de sécurité marqué comme « élevé » :

  • Une de ces failles fait appel à une API Windows afin de générer des erreurs aléatoires et ainsi faciliter des attaques par brute force
  • Des problèmes avec le générateur de nombre aléatoire et la possibilité des attaques du type « cache-timming », où un attaquant pourrait extraire les clés AES utilisées pour protéger les volumes chiffrés.

Cependant, ces failles ne feraient que se présenter dans des situations très rares. Si vous êtes curieux de connaître les détails, vous pouvez lire le rapport complet de l’audit ici (https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf). Leur conclusion est que, à moins que vous cachiez des choses très importants, TrueCrypt devrait être suffisant pour protéger vos données.

Il faut cependant observer que TrueCrypt n’est plus en développement actif, ce qui signifie que Synetis ne recommande pas son utilisation. Au lieu de cela, il serait prudent de se tourner vers son successeur open-source, VeraCrypt, qui a déjà amélioré la sécurité de TrueCrypt et que nous espérons résoudre les problèmes soulevées très bientôt.

Si pour une raison quelconque vous voulez essayer d’autres solutions, voici une liste avec des solutions proposées par des partenaires de Synetis, toutes certifiées par l’ANSSI :

  • CryHod : chiffrement bas niveau avec authentification pré-boot de notre éditeur partenaire Prim’X
  • ZoneCentral : chiffrement haut niveau de partage réseau, conteneur et dossiers sensibles de l’éditeur Prim’X
  • Zed ! : Outil de création de conteneurs numériques voués à être transportés de l’éditeur Prim’X
  • Symantec Encryption Suite : Chiffrement de parc informatique, disques durs, emails, dossiers, le tout centralisé avec des politiques fines de l’éditeur partenaire Symantec.

Sources :

Numerama –TrueCrypt : l’ANSSI invite à choisir des solutions alternatives (http://www.numerama.com/magazine/29563-truecrypt-l-anssi-invite-a-choisir-des-solutions-alternatives.html)

Korben – TrueCrypt est-il sûr ? On connait enfin la réponse (http://korben.info/laudit-de-truecrypt-est-termine.html)

Lifehacker – TrueCrypt’s Security Audit Is Finally Done, with (Mostly) Good Results (http://lifehacker.com/truecrypts-security-audit-is-finally-done-with-mostly-1695243253)

Open Crypto Project – (https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf)

Marcelo

Consultant Sécurité