Depuis 10 ans, le logiciel de chiffrement TrueCrypt est téléchargé gratuitement par des dizaines de millions d’utilisateurs à travers le monde. Pourtant, depuis une semaine, l’application n’est plus disponible, et les explications sont étranges. Voire suspectes.
Né en février 2004, TrueCrypt est (était ?) un logiciel gratuit, facile à utiliser, et recommandé par de nombreux experts et médias : il permet de créer sur un disque dur (ou sur une clé USB) un dossier virtuel capable de chiffrer (crypter) à la volée les documents qu’on y place. Cette pratique de sécurité adoptée par des entreprises, des associations et des particuliers du monde entier (notamment dans les pays où règne la censure d’État) repose sur une double-clé de chiffrement, générée aléatoirement, et protégée par un mot de passe.
Jusqu’à la semaine dernière, les plus célèbres partisans de la confidentialité des données et de la protection des sources comme Reporter Sans Frontières ou le lanceur d’alerte Edward Snowden préconisaient publiquement d’utiliser TrueCrypt. Mais depuis…
Une fin soudaine… Et étrange
Depuis le mercredi 28 mai, la page de téléchargement de TrueCrypt affiche un message pour le moins laconique : « Attention : l’usage de TrueCrypt n’est pas sécurisé, car il contient peut-être des failles de sécurité non résolues« . Consternation et confusion pour l’ensemble des cryptologues et amateurs du logiciel.
Désormais, seule est proposée une version alternative de TrueCrypt, permettant uniquement de déchiffrer les fichiers cryptés.
Plus étonnant encore, les développeurs conseillent d’utiliser désormais BitLocker, le concurrent de TrueCrypt pour Windows, proposé par Microsoft : une hérésie pour les aficionados de l’open source et de l’Internet libre.
Hypothèses : des plus simples aux plus inquiétantes
Un vrai problème de sécurité ?
Si l’annonce officielle mentionnant le manque de sécurité est assez surprenante, elle peut néanmoins être l’explication la plus simple à l’arrêt de TrueCrypt. D’ailleurs, dès 2013, le célèbre cryptologue Bruce Schneier émettait déjà quelques doutes sur la sécurité du logiciel (même s’il continuait d’estimer TrueCrypt plus fiable que ses concurrents commerciaux).
Parallèlement, un groupe d’éminents cryptographes est parvenu à récolter assez de fonds pour financer un audit indépendant portant sur la sécurité de TrueCrypt : le rapport d’analyse préliminaire (avril 2014) fait état de quelques bugs et défauts de codage, mais en aucun cas de porte dérobée ou d’algorithme suspect.
Un modèle de développement qui s’essouffle ?
Les développeurs de TrueCrypt, qui ont réussi à maintenir un parfait anonymat depuis la création du logiciel, ont peut-être commencé à se lasser de cette aventure, de laquelle ils n’ont tiré ni fortune ni gloire. Peut-être ont-ils tout simplement voulu tourner la page, et se consacrer à d’autres projets, plus novateurs, motivants ou stables.
Si par ailleurs ils ont effectivement découvert une faille importante dans leur logiciel, ou s’ils craignaient que l’audit (dont les conclusions finales ne sont pas encore livrées) ne révèle une vulnérabilité, l’explication du découragement n’est pas des plus farfelues…
Une mise à la retraite forcée ?
En vantant les mérites de TrueCrypt de façon aussi médiatique, peut-être Edward Snowden a-t-il attiré les foudres du gouvernement américain et de ses services de renseignement sur le logiciel : après tout, son utilisation massive ralentit le traitement des informations numériques jugées sensibles dans le cadre de la lutte anti-terroriste ou de l’intelligence économique.
Il se pourrait alors qu’une décision de justice ait contraint les développeurs à stopper net leur activité, tout en leur interdisant de dévoiler cette même décision (dispositif judiciaire très anglo-saxon du « gag order », ou « obligation de silence »). Auquel cas, la recommandation officielle – et surprenante – d’utiliser BitLocker pour remplacer TrueCrypt pourrait être un indice de ce genre de procédé.
Des pistes sont actuellement à l’étude pour reprendre le développement de TrueCrypt, mais si le code est librement consultable, la licence n’autorise pas forcément le reprise complète du logiciel en vue de modifications. Affaire à suivre ! En attendant, le fait que les développeurs originaux soient restés anonymes et injoignables depuis l’arrêt du logiciel ne fait qu’ajouter du mystère à l’incompréhension…
Source: lemonde.fr
Aucun commentaire