mot de passe oublié
onze euros les trois mois

Restez informé tout l'été sur Mediapart !

Profitez de notre offre d'été : 11€ pour 3 mois (soit 2 mois gratuits) + 30 jours de musique offerts ♫

Je m'abonne
Le Club de Mediapart jeu. 25 août 2016 25/8/2016 Édition du matin

Qui a tué Truecrypt?: Le début de l'attaque contre l'encryption informatique?

Mercredi 28 Mai 2014, Truecrypt, probablement le logiciel d'encryption informatique le plus élaboré pour le grand public, a cessé son développement. Comme seul justification deux phrases figurent sur le site, informant que Windows Vista, 7 et 8 proposent une encryption intégrée au système et que le développement a cessé avec la fin du support de Windows XP. Bien qu'aucun détail ne soit connu, beaucoup mène à penser que Truecrypt a en fait été enterré par des services secrets.

L'encryption informatique permet de protéger avec un mot de passe des fichiers informatiques. Contrairement au mot de passe demandé au démarrage de votre ordinateur, l'encryption  empêche d'accéder à vos données, même en démontant le disque dur pour le brancher sur un autre ordinateur. En tant que tel il est un outil important pour les activistes au bord de la légalité, whistleblowers, les militants des droits de l'homme dans les dictatures, pour les journalistes souhaitant protéger leur sources et documents et toute personne souhaitant tout simplement empêcher que ses données soient un jour utilisées contre elle.

Truecrypt a longtemps été le fer de lance de l'encryption, proposant bien plus que la simple encryption de disques durs. Afin de se prémunir contre l'éventualité d'une faille dans l'algorithme de chiffrement, Truecrypt permettait de choisir et combiner les algorithme. Afin d'éviter des pressions sur les développeurs, l'équipe derrière le logiciel est toujours inconnue. Afin de tout de même permettre la confiance dans le programme, le code source est en libre accès. Enfin et surtout, Truecrypt a misé sur l'impossibilité de prouver qu'il y a des données encryptées sur un disuqe dur. Il était ainsi possible de créer un simple fichier "containeur", ressemblant à des données aléatoires, dissimulé entre d'autres fichiers. En réaction à une loi anglaise, obligeant toute personne à réveler son mot de passe d'encryption aux autorités si elles le demandent, Truecrypt a permi de fixer deux mots de passe pour un même conteneur, menant à l'affichage de données différentes. Ainsi il était impossible pour les autoritées de prouver qu'on ne leur a pas révélé le mot de passe.

La simple encryption de données proposée par windows Vista, 7 et 8, n'ayant rien à voir avec les fonctionnalités poussées de Truecrypt ne peuvent donc pas expliquer l'arrêt de développement du programme. Mais pourquoi alors ces mots sur le site et cette absence de justification? Tout d'abord la longueur de la justification (ou ce qui peut être interprété comme tel) semble surprenante: 3 phrases de justification pour un texte de plusieurs pages A4. Ensuite les "justifications" ne se revendiquent pas comme tel, laissant place à de l'interprétation. Ainsi on peut lire: "The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images." et "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues".

Ce flou rappelle vivement un déjà vu. Le 8 août 2013, le service d'e-mails encryptés lavabit.com fermait avec un message inquiétant (toujours disponible sur le site) dont voici un extrait: I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on--the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise.. En effet, aux États-Unis comme dans d'autres pays, dont l'Allemagne par exemple, il est interdit de réveler lorsqu'on est forcé à collaborer avec les autorités. Ce flou dans l'explication est donc vu par beaucoup comme un signe de pressions gouvernementales.

Finalement des rumeurs ont surgit qu'un conteneur Truecrypt aurait été déchiffré dans le cadre de l'affaire Snowden. Le message sur le site Truecrypt quant à la sécurité du logiciel, est il donc du à l'arrêt du support ou est-ce un message cherchant à informer que les développeurs ont été forcés à introduire une faille dans le logiciel?

Le code-source étant disponible un projet de remplacement est déjà en formation. En attendant de nombreux experts conseillent de ne surtout pas télécharger le nouveau Truecrypt (7.2), ni de faire confiance au bitlocker de Microsoft (dont le code n'est pas public et qui est soumis à la loi américaine), mais d'opter plutôt pour l'alternative open-source DiskCryptor.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

Tous les commentaires

encryption ! ? ☹ Parlons français : on dit chiffrement, ou chiffrer. Crypter est, en français, le fait de chiffrer sans en connaître la clef, ce qui, en sois, n'a aucun intérêt.

De même, on dit décrypter quand il s'agit de casser le chiffrement sans en connaître la clef (les anglais n'ont pas d'équivalent, ils disent « casser le code »), déchiffrer sinon.

Bien à vous !