TrueCrypt montre patte blanche
Lancé en novembre dernier, sur fond de scandale Prism, l’examen de l’outil de chiffrement libre TrueCrypt est partiellement achevé. Et jusqu’ici, tout va bien.
C’est mi-novembre dernier qu’est décidé le lancement d’un projet d’audit complet, financé par le public, de l’outil de chiffrement libre TrueCrypt. Pour Kenneth White, de Social & Scientific Systems, et Matthew Green, chercheur à l’université John Hopkins, il s’agit de répondre à deux lacunes : l’absence d’analyse complète du code source de l’outil, et celle d’analyse juridique de sa licence.
Réalisé par iSEC Partners, l’audit de TrueCrypt est aujourd’hui partiellement achevé. Dans leur rapport, les experts expliquent avoir été mandatés pour étudier le chargement de mise sous tension et les pilotes Windows en quête de portes dérobées et « d’autres problèmes de sécurité. » Et d’assurer avoir procédé à une analyse statique du code source des composants concernés ainsi qu’à des tests, à une recompilation et à des tests par logique floue sur plusieurs interfaces.
En toute transparence, les experts d’iSEC Partners indiquent avoir « identifié 11 problèmes » dans le périmètre considéré, la plupart relevant d’une sévérité moyenne ou faible, trois problèmes ne relevant que d’une sévérité d’ordre « informationnel. » Certes, « globalement, le code source tant pour le bootloader que pour le pilote Windows de niveau noyau n’atteignent les niveaux de standard » exigibles pour un « code sûr. » La faute à un manque de commentaires, à l’utilisation de fonctions peu sûre ou obsolètes, ou encore à des types de variables incohérents. Pour autant, les experts déclarent n’avoir trouvé « aucune preuve de porte dérobée ou de code intentionnellement malicieux dans le périmètre étudié. » Pour eux, les vulnérabilités qu’ils détaillent résultent plus « de bugs que de malice. »