Informatique

TrueCrypt : bizarre, vous avez dit bizarre ?

Un commentaire

logo truecryptIl s’en passe de drôles dans le monde de la sécurité informatique ! La protection des données personnelles sur internet est un sujet récurrent, avec l’arrivée des réseaux sociaux (qui deviennent propriétaires de nos données), puis des services « Cloud » qui nous permettent de stocker nos données numériques sur un serveur quelque part sur le web…

C’est génial, fini les sauvegardes, ce sont « eux » qui s’occupent de tout. Mais ne s’occupent-ils pas aussi d’autre chose ? comme de lire ou vendre nos données ?

La plupart du temps, les gens s’en moquent (« je n’ai rien à cacher »), mais c’est sans doute une erreur : est-ce que l’on a envie d’un État capable de tout savoir sur notre vie numérique (de plus en plus présente) ? qu’est-ce qui différencierait cette situation d’un État totalitaire ? Quid de nos libertés fondamentales, chèrement acquises ? rien ne garantit leur pérennité, il suffit de regarder ce qui se passe ici et ailleurs…

Bref, ce qui se passe en ce moment avec TrueCrypt est une belle histoire à raconter, même si rien n’est prouvé, ni ne le sera. Elle commence à peine, mais on peut déjà espérer un « happy-end »…

Le développement de TrueCrypt s’est donc brutalement arrêté fin Mai, pour des raisons inconnues. La page du site explique que le logiciel comporte des failles de sécurité, et qu’il vaut mieux utiliser les solutions proposées par Microsoft ou Apple (sic !). Certains ont même trouvé un sens caché à la première phrase : 🙂

WARNING: Using TrueCrypt is Not Secure As it may contain unfixed security issues.

Néanmoins, TrueCrypt va très certainement renaître de ses cendres, et ce sera probablement une démonstration de la force du logiciel libre. En voilà un résumé, enfin comme je vois la chose.

Chiffrement

Avant de commencer, il faut savoir une ou deux choses : pour protéger ses données, il faut les chiffrer (crypter est un anglicisme,voir ici). Mais dans le cas d’utilisation d’un service cloud, il faut se poser une seconde question : qui détient la clef de (dé)chiffrement ? vous seul, ou également les personnes gérant ces serveurs ? il est facile de comprendre que cela change tout.

Solutions propriétaires

L’utilisation des solutions fournies par Microsoft ou Apple (donc de logiciels propriétaires, dont le code n’est pas publié) sont difficilement digne de confiance pour cette tâche. On peut légitimement penser que ces boites ont des accords avec des organismes comme la NSA : par le biais du Patriot Act, elles n’ont pas vraiment le choix de toutes façons.

D’où l’ironie de cette recommandation sur la page du site… Difficile d’y croire. 😉

Solutions libres

Reste les logiciels libres, dont le code est publié (donc vérifiable), et qui ne sont pas forcément hébergés sur le territoire américain, mais partout dans le monde. Les copies du code source circulent, et sont à la disposition de la communauté de développeurs pour être reprises (on appelle cela un fork). C’est probablement ce qui va se passer.

Il existe plusieurs solutions « libres » pour chiffrer ses données, TrueCrypt en était une, avec l’avantage d’être multi-plateforme (Windows, Mac, Linux). Ce logiciel n’était pas publié sous licence open-source, mais comme « freeware », et le code source était publié… En gros, ça veut dire que le code peut très facilement être repris (fork) et devenir un logiciel open-source, libre de droits etc…

Efficacité

Des données chiffrées avec mot de passe fort peuvent être très compliquées à déchiffrer sans le mot de passe. C’est ce qui s’est passé en 2008 :

Daniel Dantas, un banquier brésilien mouillé dans des affaires louches avait chiffré son disque avec TrueCrypt justement ! Les services Brésiliens n’ont pu le déchiffrer après cinq mois de tentatives, ils ont alors refilé le « bébé » au FBI, qui malgré plus d’un an de tentatives, a également échoué… Une très bonne publicité pour TrueCrypt !

Lavabit

Il faut remonter un peu dans le temps pour bien comprendre les enjeux de ce qui se passe.

À l’époque des révélations de Edward Snowden, la NSA cherche à accéder à ses mails. Or ce cher Snowden avait un compte mail chez Lavabit, un service de webmail assurant une complète sécurité de vos données. Lavar Lenvison, le fondateur de Lavabit, résista autant qu’il put aux demandes du FBI, puis du se résoudre à fournir les clefs de déchiffrement, sous peine de se retrouver en prison. Il pris ensuite la décision de fermer Lavabit,  ne voulant pas « être complice de crimes contre le peuple américain ». Une décision courageuse.

Ceci pour expliquer que des données chiffrées compliquent terriblement (voir empêchent) la tâche du FBI ou de la NSA… Si l’on a fait quelque chose d’illégal (Daniel Dantas), c’est bien dommage que la justice ne puisse déchiffrer les données, mais si l’on est un « lanceur d’alerte » comme Snowden, on peut par contre s’en réjouir…

Et donc voilà pourquoi cet arrêt soudain de TrueCrypt est plus que suspect. L’absence d’explications des développeurs ne fait que renforcer cette impression, ils sont sans doute tenu par la justice américaine au silence. Vous pouvez lire cet article de Korben pour un peu plus de détails sur cette affaire.

Le  futur

C’est en Suisse que l’on a vu apparaître un nouveau site : ils ont remis en ligne la dernière version complète 7.1 (supprimée du site d’origine), et promettent de reprendre le développement s’il se confirme que TrueCrypt est vraiment mort.

Un excellent exemple de l’intérêt du logiciel libre. Les gouvernements, aussi puissants soient-ils, auront bien du mal contrôler toutes nos données comme ils le souhaitent. S’il n’y avait que des logiciels propriétaires, rien de cela ne serait possible.

Une réflexion sur « TrueCrypt : bizarre, vous avez dit bizarre ? »

  1. Ping : Bittorrent Sync pour synchroniser PC et smartphone | pascal's weblog

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *