[Dominique Filipponne – Le Monde Informatique – 12/06/2014]

La fin brutale du freeware Open Source TrueCrypt spécialisé dans le chiffrement de disques et de fichiers a laissé place à l’incompréhension dans le milieu de la sécurité. Entre hack massif et arrêt forcé à la Lavabit, les suppositions vont bon train.

Les développeurs à l’origine du logiciel de chiffrement Open Source TrueCrypt lancé en 2004 ont annoncé ce week-end la fin de tout développement concernant cette solution. « Utiliser TrueCrypt n’est pas sécurisé et contient des failles de sécurité qui ne sont pas corrigées », ont indiqué les développeurs sur le site de leur projet.

« Nous avons eu l’une des annonces les plus étranges de toute l’histoire de l’Open Source », a indiqué Steve Pate, architecte en chef chez HyTrust à propos de cet arrêt surprise de TrueCrypt, qui tourne sur Windows, Mac OS/X et Linux. Steve Pate indique que TrueCrypt a été développé par un groupe d’ingénieurs logiciels inconnus avec qui il n’a jamais pu entrer en contact, faute de réponses.

Des failles identifiées mais sans importance

A ce jour, TrueCrypt a été téléchargé des millions de fois ces dernières années, et jusqu’à ce jour, aucun problème de sécurité majeur n’a été publiquement identifié. Tom Ritter, ingénieur de sécurité à iSec Partners, a fait savoir de son côté que sa société a analysé les composants de TrueCrypt sans trouver de preuve de l’existence d’une porte dérobée (backdoor). « Il y avait quelques failles mais aucune d’importance », a également noté Tom Ritter. Ce dernier a aussi précisé qu’à sa connaissance il n’existait aucune alternative Open Source fiable de chiffrement de disques et de fichiers à TrueCrypt.

Bruce Schneier, expert en chiffrement, a indiqué ce week-end à The Register qu’il utilisait jusqu’alors TrueCrypt mais est passé sur Symantec OpenPGP. Fait intriguant dans cette affaire, une recommandation sur le site de TrueCrypt enjoignant les utilisateurs à se tourner maintenant vers la solution Bitlocker de Microsoft. Tout le monde s’interroge sur ce qui s’est passé avec TrueCrypt : « Les spéculations vont d’un hack massif des développeurs de TrueCrypt, à un arrêt forcé semblable à celui de Lavabit ou encore à une lutte de pouvoir interne au sein de TrueCrypt. Je suppose que nous devrons attendre pour en savoir plus », a indiqué Bruce Schneier.

http://www.lemondeinformatique.fr/actualites/lire-l-arret-de-truecrypt-laisse-de-nombreux-experts-perplexes-57657.html