Ideal para alimentar teorias conspiratorias...
Paulo Roberto de Almeida
L'étrange disparition du logiciel de chiffrement TrueCrypt
04.06.2014 à 18:21
Le Monde.fr Yves Eudes
Mercredi 28 mai, un message énigmatique apparaît en lettres rouges sur le site de chargement du logiciel de cryptage TrueCrypt : « Attention : l’usage de TrueCrypt n’est pas sécurisé, car il contient peut-être des failles de sécurité non résolues. » Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion. Depuis une décennie, TrueCrypt est présenté par les experts et les médias comme le meilleur logiciel de chiffrement à la disposition du grand public, gratuit, et relativement facile à utiliser.
TrueCrypt crée sur le disque dur de l’utilisateur un « conteneur » – un dossier virtuel capable de chiffrer à la volée les fichiers qu’il reçoit. Le chiffrement et le déchiffrement se font grâce à une double-clé générée de façon aléatoire, et à un mot de passe. On peut aussi s’en servir pour chiffrer l’ensemble du disque dur. Il propose même un raffinement : la création d’un sous-dossier invisible, doté d’un mot de passe différent. Si l'utilisateur se retrouve contraint de livrer son mot de passe, il pourra donner celui du conteneur visible, mais pas celui du « double-fond », dont l’existence reste indécelable.
RECOMMANDÉ PAR RSF, UTILISÉ PAR SNOWDEN
Depuis sa création, TrueCrypt a été téléchargé plus de 30 millions de fois. Il est utilisé par des entreprises, des associations et des particuliers du monde entier, notamment dans les pays soumis à une censure d’Etat. Jusqu’au 28 mai, diverses ONG, dont Reporters sans frontières (RSF), recommandaient aux journalistes et aux militants des droits humains d’utiliser TrueCrypt, et organisaient des stages de formation. Même Edward Snowden, l’ex-agent secret américain qui a révélé les programmes de surveillance de la NSA, était un adepte de TrueCrypt. En novembre 2012, alors qu’il était encore inconnu, il organisa à Hawaï, où il vivait à l’époque, une « crypto party » (réunion publique d’initiation au chiffrement). Selon des participants qui ont témoigné dans la presse américaine, Snowden se présenta ce jour-là comme un employé du fabricant d’ordinateurs Dell. Puis il parla pendant près de quarante minutes pour expliquer le fonctionnement et les avantages de TrueCrypt.
A l’automne 2013, après les révélations sur le programme de la NSA visant à affaiblir les logiciels de chiffrement, le cryptologue américain Bruce Schneier, célèbre pour ses articles de vulgarisation, rappelle que depuis des années, il a des doutes sur la sécurité de TrueCrypt. Pourtant, il préconise malgré tout son utilisation, car selon lui, il serait encore plus risqué de se fier aux logiciels commerciaux vendus par Microsoft ou Symantec.
Dans le même temps, un groupe de cryptographes éminents, dirigé par Matthew Green, professeur à l’université John Hopkins de Baltimore, décide de vérifier que TrueCrypt est bien protégé contre d’éventuelles attaques – une tâche complexe mais faisable, car TrueCrypt est en open source – son code est librement accessible et modifiable. Il lance une souscription pour financer un audit indépendant, et réunit assez d’argent (dont une partie enbitcoins) pour engager la société de sécurité californienne iSEC. Celle-ci publie un rapport d’expertise préliminaire en avril 2014 : TrueCrypt contiendrait des bugs et des défauts de codage, mais pas de « porte dérobée », ni de faiblesse mathématique introduite intentionnellement.
ÉQUIPE DE DÉVELOPPEMENT INJOIGNABLE
Un second rapport, plus complet, était prévu pour la fin de l’année, mais depuis le 28 mai, plus personne ne sait si TrueCrypt a encore un avenir. Après avoir découvert l’avertissement sur les « failles non résolues », les visiteurs du site de TrueCrypt vont de surprise en surprise. Sans donner d’explications, l’équipe annonce qu’elle cesse immédiatement de travailler sur TrueCrypt, et propose en téléchargement une version de secours, servant uniquement à déchiffrer les fichiers déjà cryptés. Encore plus étonnant : elle recommande aux possesseurs d’un ordinateur Windows d’utiliser Bitlocker, le logiciel commercial de Microsoft – une hérésie pour la communauté de l’open source et les militants de l’Internet libre.
Or, il est impossible de demander aux membres de TrueCrypt ce qui leur arrive, car depuis une décennie, ils ont réussi à rester anonymes. Officiellement, personne ne sait qui ils sont ni où ils vivent, et ils ne répondent plus aux messages laissés sur leur site. Cette discrétion, qui était vue comme un gage d’intégrité, apparaît d’un seul coup comme une faiblesse, et un danger : rétrospectivement, des millions d’utilisateurs se demandent comment ils ont pu faire confiance à une organisation aussi opaque.
Désormais, différentes ONG, dont Reporters sans frontières, déconseillent d’utiliser TrueCrypt, et cherchent des solutions de remplacement. En attendant, des milliers de journalistes et de militants sont potentiellement espionnés ou en danger.
FRAGILITÉ DU MODÈLE DE DÉVELOPPEMENT
Bien entendu, diverses théories sont déjà apparues sur les sites spécialisés pour tenter d’expliquer cette disparition énigmatique. Certains se disent convaincus que le site a été piraté, et que l’annonce est un canular. D’autres croient deviner qu’après des années de travail ardu et sans gloire, l’équipe de TrueCrypt a peut-être subi une crise de lassitude collective, et a décidé de passer à autre chose. On touche là à un problème plus général : les logiciels proposés gratuitement par des petits groupes de passionnés comptant sur la générosité du public, ou vivant grâce à d’autres emplois, restent des œuvres fragiles, dont la survie à long terme est incertaine. Autre possibilité : ils auraient découvert une faille dans leur logiciel, et auraient préféré se saborder, par découragement.
Des blogueurs imaginent un scénario encore plus noir. En recommandant TrueCrypt, Edward Snowden en a peut-être fait une cible pour le gouvernement américain. Si une partie de l’équipe se trouve aux Etats-Unis, ou dans un pays plus ou moins satellite, elle a peut-être été contrainte par une autorité judiciaire de cesser ses activités. La justice aurait pu, de surcroît, lui interdire de faire savoir à quiconque ce qui leur arrivait, en édictant un « gag order »(« obligation de silence »), une procédure courante aux Etats-Unis et au Royaume-Uni. Selon les partisans de cette théorie, la recommandation, si incongrue, d’utiliser le logiciel Bitlocker de Microsoft serait en fait un moyen détourné de faire savoir que rien ne va plus. Certains craignent même que la version limitée proposée depuis le 28 mai soit piégée, ou que l’équipe de TrueCrypt soit infiltrée de longue date. Cela dit, en réalité, le mystère reste entier.
Dans une interview publiée par le site Krebsonsecurity, Matthew Green se dit inquiet : « Peut-être ont-ils tout abandonné précisément parce que nous avons commencé notre audit. » Il envisage déjà de former une équipe de remplacement, qui reprendrait TrueCrypt pour l’améliorer. Or, TrueCrypt n’est pas vraiment un logiciel libre, il est protégé par une licence compliquée. Seuls des juristes experts en propriété intellectuelle pourront dire si une nouvelle équipe a le droit de s’emparer du code et de le modifier.
TrueCrypt crée sur le disque dur de l’utilisateur un « conteneur » – un dossier virtuel capable de chiffrer à la volée les fichiers qu’il reçoit. Le chiffrement et le déchiffrement se font grâce à une double-clé générée de façon aléatoire, et à un mot de passe. On peut aussi s’en servir pour chiffrer l’ensemble du disque dur. Il propose même un raffinement : la création d’un sous-dossier invisible, doté d’un mot de passe différent. Si l'utilisateur se retrouve contraint de livrer son mot de passe, il pourra donner celui du conteneur visible, mais pas celui du « double-fond », dont l’existence reste indécelable.
RECOMMANDÉ PAR RSF, UTILISÉ PAR SNOWDEN
Depuis sa création, TrueCrypt a été téléchargé plus de 30 millions de fois. Il est utilisé par des entreprises, des associations et des particuliers du monde entier, notamment dans les pays soumis à une censure d’Etat. Jusqu’au 28 mai, diverses ONG, dont Reporters sans frontières (RSF), recommandaient aux journalistes et aux militants des droits humains d’utiliser TrueCrypt, et organisaient des stages de formation. Même Edward Snowden, l’ex-agent secret américain qui a révélé les programmes de surveillance de la NSA, était un adepte de TrueCrypt. En novembre 2012, alors qu’il était encore inconnu, il organisa à Hawaï, où il vivait à l’époque, une « crypto party » (réunion publique d’initiation au chiffrement). Selon des participants qui ont témoigné dans la presse américaine, Snowden se présenta ce jour-là comme un employé du fabricant d’ordinateurs Dell. Puis il parla pendant près de quarante minutes pour expliquer le fonctionnement et les avantages de TrueCrypt.
A l’automne 2013, après les révélations sur le programme de la NSA visant à affaiblir les logiciels de chiffrement, le cryptologue américain Bruce Schneier, célèbre pour ses articles de vulgarisation, rappelle que depuis des années, il a des doutes sur la sécurité de TrueCrypt. Pourtant, il préconise malgré tout son utilisation, car selon lui, il serait encore plus risqué de se fier aux logiciels commerciaux vendus par Microsoft ou Symantec.
Dans le même temps, un groupe de cryptographes éminents, dirigé par Matthew Green, professeur à l’université John Hopkins de Baltimore, décide de vérifier que TrueCrypt est bien protégé contre d’éventuelles attaques – une tâche complexe mais faisable, car TrueCrypt est en open source – son code est librement accessible et modifiable. Il lance une souscription pour financer un audit indépendant, et réunit assez d’argent (dont une partie enbitcoins) pour engager la société de sécurité californienne iSEC. Celle-ci publie un rapport d’expertise préliminaire en avril 2014 : TrueCrypt contiendrait des bugs et des défauts de codage, mais pas de « porte dérobée », ni de faiblesse mathématique introduite intentionnellement.
ÉQUIPE DE DÉVELOPPEMENT INJOIGNABLE
Un second rapport, plus complet, était prévu pour la fin de l’année, mais depuis le 28 mai, plus personne ne sait si TrueCrypt a encore un avenir. Après avoir découvert l’avertissement sur les « failles non résolues », les visiteurs du site de TrueCrypt vont de surprise en surprise. Sans donner d’explications, l’équipe annonce qu’elle cesse immédiatement de travailler sur TrueCrypt, et propose en téléchargement une version de secours, servant uniquement à déchiffrer les fichiers déjà cryptés. Encore plus étonnant : elle recommande aux possesseurs d’un ordinateur Windows d’utiliser Bitlocker, le logiciel commercial de Microsoft – une hérésie pour la communauté de l’open source et les militants de l’Internet libre.
Or, il est impossible de demander aux membres de TrueCrypt ce qui leur arrive, car depuis une décennie, ils ont réussi à rester anonymes. Officiellement, personne ne sait qui ils sont ni où ils vivent, et ils ne répondent plus aux messages laissés sur leur site. Cette discrétion, qui était vue comme un gage d’intégrité, apparaît d’un seul coup comme une faiblesse, et un danger : rétrospectivement, des millions d’utilisateurs se demandent comment ils ont pu faire confiance à une organisation aussi opaque.
Désormais, différentes ONG, dont Reporters sans frontières, déconseillent d’utiliser TrueCrypt, et cherchent des solutions de remplacement. En attendant, des milliers de journalistes et de militants sont potentiellement espionnés ou en danger.
FRAGILITÉ DU MODÈLE DE DÉVELOPPEMENT
Bien entendu, diverses théories sont déjà apparues sur les sites spécialisés pour tenter d’expliquer cette disparition énigmatique. Certains se disent convaincus que le site a été piraté, et que l’annonce est un canular. D’autres croient deviner qu’après des années de travail ardu et sans gloire, l’équipe de TrueCrypt a peut-être subi une crise de lassitude collective, et a décidé de passer à autre chose. On touche là à un problème plus général : les logiciels proposés gratuitement par des petits groupes de passionnés comptant sur la générosité du public, ou vivant grâce à d’autres emplois, restent des œuvres fragiles, dont la survie à long terme est incertaine. Autre possibilité : ils auraient découvert une faille dans leur logiciel, et auraient préféré se saborder, par découragement.
Des blogueurs imaginent un scénario encore plus noir. En recommandant TrueCrypt, Edward Snowden en a peut-être fait une cible pour le gouvernement américain. Si une partie de l’équipe se trouve aux Etats-Unis, ou dans un pays plus ou moins satellite, elle a peut-être été contrainte par une autorité judiciaire de cesser ses activités. La justice aurait pu, de surcroît, lui interdire de faire savoir à quiconque ce qui leur arrivait, en édictant un « gag order »(« obligation de silence »), une procédure courante aux Etats-Unis et au Royaume-Uni. Selon les partisans de cette théorie, la recommandation, si incongrue, d’utiliser le logiciel Bitlocker de Microsoft serait en fait un moyen détourné de faire savoir que rien ne va plus. Certains craignent même que la version limitée proposée depuis le 28 mai soit piégée, ou que l’équipe de TrueCrypt soit infiltrée de longue date. Cela dit, en réalité, le mystère reste entier.
Dans une interview publiée par le site Krebsonsecurity, Matthew Green se dit inquiet : « Peut-être ont-ils tout abandonné précisément parce que nous avons commencé notre audit. » Il envisage déjà de former une équipe de remplacement, qui reprendrait TrueCrypt pour l’améliorer. Or, TrueCrypt n’est pas vraiment un logiciel libre, il est protégé par une licence compliquée. Seuls des juristes experts en propriété intellectuelle pourront dire si une nouvelle équipe a le droit de s’emparer du code et de le modifier.
Vos réactionsRéagissez
 |
Gaëtan Rivet 05.06.2014 à 05:51Réagissez
On peut noter Truecrypt.ch, une initiative proposant de reprendre le code source original pour continuer le développement. Effectivement les licences utilisées sont complexes et ne facilitent pas cette tâche, mais ça reste possible. On peut par contre se poser la question de l'hébergement en Suisse alors que le code lui-même est maintenu sur la plateforme GitHub, américaine.
|
|
Un "Noir" 04.06.2014 à 21:37Réagissez
Cet article est à conserver en marque-page par exempe:Les ploutocrates, les banksters, les kletocrates, les grandes compagnies privées,les États, les bandits, les voleurs, et les chenapans, n' aiment pas que leurs secrets soient éventés, et surtout par des gens qui sont très compétents, mais qui libres de toutes attaches, se permettent de saisir avec toute la transparence nécessaire, des domaines qui les intéressent. Ils les considèrent comme des ennemis. Snowden en est un exemple typique.
|
|
Jean 04.06.2014 à 21:01Réagissez
Et si c'était justement un logiciel fiable mais qui pose problème pour le décodage à la N.S.A. ?? Donc une mise en fermeture pour la sécurité nationale U.S. et des recommandation vers Microsoft ?
|
Nenhum comentário:
Postar um comentário