Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

L'étrange disparition du logiciel de chiffrement TrueCrypt (Le Monde)

par Yves Eude 5 Juin 2014, 14:50 Windows Microsoft Truecrypt Logiciel Snowden RSF

L'étrange disparition du logiciel de chiffrement TrueCrypt (Le Monde)
L'étrange disparition du logiciel de chiffrement TrueCrypt

Par Yves Eude
Le Monde

Ce logiciel, recommandé par des ONG et utilisé par Edward Snowden et des journalistes ou militants anti-censure, a subitement été retiré du Web par ses créateurs. Sans explications.

Mercredi 28 mai, un message énigmatique apparaît en lettres rouges sur le site de chargement du logiciel de cryptage TrueCrypt : « Attention : l’usage de TrueCrypt n’est pas sécurisé, car il contient peut-être des failles de sécurité non résolues. » Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion. Depuis une décennie, TrueCrypt est présenté par les experts et les médias comme le meilleur logiciel de chiffrement à la disposition du grand public, gratuit, et relativement facile à utiliser.

TrueCrypt crée sur le disque dur de l’utilisateur un « conteneur » – un dossier virtuel capable de chiffrer à la volée les fichiers qu’il reçoit. Le chiffrement et le déchiffrement se font grâce à une double-clé générée de façon aléatoire, et à un mot de passe. On peut aussi s’en servir pour chiffrer l’ensemble du disque dur. Il propose même un raffinement : la création d’un sous-dossier invisible, doté d’un mot de passe différent. Si l'utilisateur se retrouve contraint de livrer son mot de passe, il pourra donner celui du conteneur visible, mais pas celui du « double-fond », dont l’existence reste indécelable.

Recommandé par RSF, utilisé par Snowden

Depuis sa création, TrueCrypt a été téléchargé plus de 30 millions de fois. Il est utilisé par des entreprises, des associations et des particuliers du monde entier, notamment dans les pays soumis à une censure d’Etat. Jusqu’au 28 mai, diverses ONG, dont Reporters sans frontières (RSF), recommandaient aux journalistes et aux militants des droits humains d’utiliser TrueCrypt, et organisaient des stages de formation. Même Edward Snowden, l’ex-agent secret américain qui a révélé les programmes de surveillance de la NSA, était un adepte de TrueCrypt. En novembre 2012, alors qu’il était encore inconnu, il organisa à Hawaï, où il vivait à l’époque, une « crypto party » (réunion publique d’initiation au chiffrement). Selon des participants qui ont témoigné dans la presse américaine, Snowden se présenta ce jour-là comme un employé du fabricant d’ordinateurs Dell. Puis il parla pendant près de quarante minutes pour expliquer le fonctionnement et les avantages de TrueCrypt.

Un logiciel présenté par Snowden dans des crypto-parties

A l’automne 2013, après les révélations sur le programme de la NSA visant à affaiblir les logiciels de chiffrement, le cryptologue américain Bruce Schneier, célèbre pour ses articles de vulgarisation, rappelle que depuis des années, il a des doutes sur la sécurité de TrueCrypt. Pourtant, il préconise malgré tout son utilisation, car selon lui, il serait encore plus risqué de se fier aux logiciels commerciaux vendus par Microsoft ou Symantec.

Dans le même temps, un groupe de cryptographes éminents, dirigé par Matthew Green, professeur à l’université John Hopkins de Baltimore, décide de vérifier que TrueCrypt est bien protégé contre d’éventuelles attaques – une tâche complexe mais faisable, car TrueCrypt est en open source – son code est librement accessible et modifiable. Il lance une souscription pour financer un audit indépendant, et réunit assez d’argent (dont une partie en bitcoins) pour engager la société de sécurité californienne iSEC. Celle-ci publie un rapport d’expertise préliminaire en avril 2014 : TrueCrypt contiendrait des bugs et des défauts de codage, mais pas de « porte dérobée », ni de faiblesse mathématique introduite intentionnellement.

équipe de développement injoignable

Un second rapport, plus complet, était prévu pour la fin de l’année, mais depuis le 28 mai, plus personne ne sait si TrueCrypt a encore un avenir. Après avoir découvert l’avertissement sur les « failles non résolues », les visiteurs du site de TrueCrypt vont de surprise en surprise. Sans donner d’explications, l’équipe annonce qu’elle cesse immédiatement de travailler sur TrueCrypt, et propose en téléchargement une version de secours, servant uniquement à déchiffrer les fichiers déjà cryptés. Encore plus étonnant : elle recommande aux possesseurs d’un ordinateur Windows d’utiliser Bitlocker, le logiciel commercial de Microsoft – une hérésie pour la communauté de l’open source et les militants de l’Internet libre.

Or, il est impossible de demander aux membres de TrueCrypt ce qui leur arrive, car depuis une décennie, ils ont réussi à rester anonymes. Officiellement, personne ne sait qui ils sont ni où ils vivent, et ils ne répondent plus aux messages laissés sur leur site. Cette discrétion, qui était vue comme un gage d’intégrité, apparaît d’un seul coup comme une faiblesse, et un danger : rétrospectivement, des millions d’utilisateurs se demandent comment ils ont pu faire confiance à une organisation aussi opaque.

Désormais, différentes ONG, dont Reporters sans frontières, déconseillent d’utiliser TrueCrypt, et cherchent des solutions de remplacement. En attendant, des milliers de journalistes et de militants sont potentiellement espionnés ou en danger...


Lire lasuite

commentaires

Haut de page