Quatre vulnérabilités dans TrueCrypt 7.1

Le rapport d’audit final de l’outil de chiffrement TrueCrypt ne fait apparaître que quatre vulnérabilités. De quoi rassurer sur ses successeurs, CipherShed et VeraCrypt.

Réalisé par le groupe NCC pour le projet Open Crypto Audit, le rapport d’audit cryptographique de TrueCrypt 7.1 dresse un portrait plutôt positif. De fait, seules 4 vulnérabilités ont été identifiées, et aucune porte dérobée.

Chacune de ces vulnérabilités fait l’objet de recommandations. Les auteurs vont plus loin et recommandent la poursuite de l’étude et de l’amélioration du code de l’outil de chiffrement complet de volumes de stockage, mais également la simplification de l’application, et le renforcement de la gestion des erreurs.

Un bilan plutôt rassurant pour les successeurs de TrueCrypt que constituent VeraCrypt et CipherShed. Les auteurs du rapport d’audit le soulignent d’ailleurs, tout en précisant ne pas s’étendre sur les éventuelles corrections que l’audit les a amenés à suggérer aux responsables des deux successeurs de TrueCrypt.

Les développeurs anonymes responsables du développement de l’outil de chiffrement de disque libre TrueCrypt ont jeté l’éponge fin mai 2014, en encourageant à recourir aux capacités de chiffrement de disque intégrées à Windows, mais également à OS X, notamment.

A ce moment, Matthew Green, chercheur à l’université John Hopkins, n’a pas caché sa déception. Pour mémoire, le chercheur a contribué, à l’automne 2013, au lancement d’un audit de TrueCrypt, financé par le public. Celui-ci a porté ses premiers fruits au mois d’avril 2014. Et ils étaient prometteurs. Les experts d’iSEC Partners indiquaient alors avoir identifié 11 problèmes dans le périmètre étudié - analyse technique du code source et juridique de sa licence -, la plupart relevant d’une sévérité moyenne ou faible, trois problèmes ne relevant que d’une sévérité d’ordre informationnel.

Pas découragées, les équipes en charge de l’audit ont plus tard indiqué « poursuivre l’analyse cryptographique formelle de TrueCrypt 7.1 ». De quoi notamment alimenter le travail des projets de forks, CiperShed et VeraCrypt, donc.

 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)