Un audit public de TrueCrypt
L’outil de chiffrement open source TrueCrypt est-il sûr ou son code a-t-il été piégé ? C’est la question à laquelle deux spécialistes du chiffrement veulent répondre par un audit public.
Gratuit, avec un code source ouvert, TrueCrypt est un outil de chiffrement disponible pour Linux, OS X, et Windows. Las, comme le relèvent Kenneth White, de Social & Scientific Systems, et Matthew Green, chercheur à l’université John Hopkins - qui s'était notamment fait remarquer à l'occasion des révélations sur les capacités de déchiffrement de la NSA -, aucune analyse complète de son code source n’a été conduite à ce jour. Dès lors, difficile de lui faire pleinement confiance. En outre, aucune analyse juridique de sa licence n’a eu lieu, « prévenant son inclusion dans la plupart des systèmes d’exploitation gratuits, dont Ubuntu, Debian, Red Hat, CentOS, et Fedora. »
Pour y remédier, ils viennent donc de lancer un projet d’audit complet, financé par le public. Bonne nouvelle pour le projet, il a reçu l’assentiment de l’équipe de développement de TrueCrypt. A ce jour, les promesses de dons s’élèvent à plus de 56 000 $. Kenneth White et Matthew Green travaillent à la définition précise du calendrier du projet. Ils ont commencé à consulter des spécialistes du chiffrement, des ingénieurs en sécurité et experts légaux pour récolter conseils et recommandations.