|
Sécurité : Mercredi soir, le logiciel de chiffrement de disque dur TrueCrypt, utilisé par des experts, activistes et journalistes partout dans le monde a "annoncé" l'arrêt de son développement. Vraie mise à mort ou stratagème ? « Ne téléchargez plus TrueCrypt." Voilà ce qu’on peut lire chez de nombreux spécialistes en sécurité informatique depuis mercredi 28 mai, au soir. Le célèbre logiciel de chiffrement de disque dur est devenu un objet à éviter à tout prix depuis le changement brutal de son site mercredi. Le site officiel a été remplacé par une page, visiblement écrite à la va-vite, surmontée du message "ATTENTION : Utiliser TrueCrypt n'est pas sûr, il peut contenir des des failles de sécurité non-comblées". Les premiers utilisateurs ont évoqué un défacement du site par un tiers, même si rien ne permet d’en être sûr. Selon la nouvelle page, le développement de ce logiciel de référence est officiellement arrêté. Cela à cause de l’arrêt du support de Windows XP par Microsoft : ce serait le seul système populaire sans outil de chiffrement intégré. La page recommande, pour les utilisateurs de Windows, d’utiliser l’outil de chiffrement de disque intégré au système, Bitlocker. Concrètement, cet outil est réservé aux versions professionnelles et "ultimes" de l’OS de Microsoft. Il est difficile de croire que les développeurs (anonymes) de TrueCrypt abandonneraient leur outil au profit d’une telle solution. Il l’est autant de savoir ce qui aurait poussé les développeurs à se saborder de la sorte. Ce comportement incohérent est complété par la mise en ligne d’une nouvelle version du logiciel (7.2), alors que la dernière fonctionnelle (7.1a) date de 2012. Une nouvelle version mise en ligne Cette nouvelle version, que la Terre entière conseille d’éviter, a pourtant les attraits d’une version officielle. L’application est distribuée par Sourceforge, comme les précédentes, et est signée avec une clé appartenant aux développeurs. Mais que fait cette version mystère ? The Register a testé la mouture Windows dans une machine virtuelle et est tombée sur une (nouvellle) surprise. L’application, exécutée sur Windows 8.1, a été bloquée par la protection |
||
|
SmartScreen. Sur "un système plus ancien", l’application se lance et affiche le message de la nouvelle page d’accueil du site. Surtout, elle refuse de chiffrer la moindre donnée. Concrètement, ce nouvel installeur est bien plus une répétition de l’avertissement qu’une vraie version de l’application, selon les constatations du site britannique. Ce revirement a lieu en plein audit du code de l’application. Financé (crowdfundé) en octobre sur IndieGogo, cet audit devait notamment s’assurer du vrai niveau de sécurité du logiciel, jusqu’ici largement indéterminé. La première phase de l’audit du code, terminée à la mi-avril, avait révélé quelques problèmes, aucun ne remettait en cause la qualité du logiciel. Suite à la lecture de l’audit, l’expert en sécurité Bruce Schneier déclarait simplement qu’il continuerait à l’utiliser.
|
Source, journal ou site Internet : ZDnet
Date : 29 mai 2014
Auteur : Guénaël Pépin
/image%2F0991260%2F20140929%2Fob_35568a_bwnnx24iqaa50bf.jpg)

Haut de page