La mystérieuse mise à mort de truecrypt

[farid_h]

Sécurité : Mercredi soir, le logiciel de chiffrement de disque dur TrueCrypt, utilisé par des experts, activistes et journalistes partout dans le monde a "annoncé" l'arrêt de son développement. Vraie mise à mort ou stratagème ?

"Ne télécharez plus TrueCrypt."

Le site officiel a été remplacé par une page, visiblement écrite à la va-vite, surmontée du message <"ATTENTON : Utiliser TrueCrypt n'est pas sûr, il peut contenir des des failles de sécurité non-comblées"

Selon la nouvelle page, le développement de ce logiciel de référence est officiellement arrêté. Cela à cause de l’arrêt du support de Windows XP par Microsoft : ce serait le seul système populaire sans outil de chiffrement intégré. La page recommande, pour les utilisateurs de Windows, d’utiliser l’outil de chiffrement de disque intégré au système, Bitlocker. Concrètement, cet outil est réservé aux versions professionnelles et "ultimes" de l’OS de Microsoft.

Il est difficile de croire que les développeurs (anonymes) de TrueCrypt abandonneraient leur outil au profit d’une telle solution. Il l’est autant de savoir ce qui aurait poussé les développeurs à se saborder de la sorte. Ce comportement incohérent est complété par la mise en ligne d’une nouvelle version du logiciel (7.2), alors que la dernière fonctionnelle (7.1a) date de 2012.

La suite: http://www.zdnet.fr/actualites/la-mysterieuse-mise-a-mort-de-truecrypt-39801739.htm

 

[farid_h]

Conseil a tous: si vous utilisez TrueCrypt 7.1a, restez sur cette version pour l'instant! Elle a au moins l'avantage d'avoir ete partiellement auditee. La version 7.2 est plus que bizarre...

 

[FPP75]

C'est dommage ! C'était utile pour identifier les appels inconnus

 

[farid_h]

C'est dommage ! C'était utile pour identifier les appels inconnus

T'es sur qu'on parle du meme programme?

 

[FPP75]

T'es sur qu'on parle du meme programme?

Ah mince, je parlais de TrueCaller Désolé !

 

[farid_h]

Ah mince, je parlais de TrueCaller Désolé !

Yep.

Cette histoire de TrueCrypt est vraiment grave. Car meme Snowden a fait confiance a ce logiciel. Tout ca me parait tres louche pour le moment. Si j'ai du temps, je vais egalement passer au peigne fin le source code de TrueCrypt 7.1a que j'ai ici. Jusqu'a present, j'ai fait confiance dans l'audit:

http://arstechnica.com/security/201...s-no-evidence-of-backdoors-or-malicious-code/

Il est temps de passer TrueCrypt sous la loupe collective des cryptographes, et je serait-ce que par mesure de securite.

 

[Adebisi]

salam
http://blog-libre.org/post/2014/05/29/le-point-sur-truecrypt

 

[farid_h]

salam
http://blog-libre.org/post/2014/05/29/le-point-sur-truecrypt

Personellement, je pense que c'est du FUD lance par la NSA ou autre parties interessees. TrueCrypt (dans la version 7.1a) etait quasi non-decryptable pour ces organisations, si on croit l'insider Snowden. Peut etre qu'ils sont arrives a prendre le controle du domaine truecrypt.org, et installe leur propagande? Ils conseillent d'utiliser BitLocker de Microsoft maintenant? Quelle belle blague, considerant comment Microsoft coopere avec la NSA depuis des annees!

Tout ca rappelle l'episode LavaBit.

 

[farid_h]

La page actuelle de www.truecrypt.org a cet avertissement:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

J'ajoute en gras:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

Ca donne quoi?

 

[farid_h]

Une alternative est DiskCryptor:

https://diskcryptor.net/wiki/Main_Page

Je ne sais pas (encore) si c'est sure; mais c'est recommande par beaucoup d'experts...

 

[a3lash]

Merci @farid_h pour ce monologue intéressant...
Sous mac, j'utilise Cloudfogger mais surtout avant l'envoi dans le cloud.

 

[zigotino]

Encore un coup de nos amis de la n s a soucieux de tout pister. La dernière version mise en ligne est vérolée et contient de quoi s'amuser pour les barbouzes. Les anciennes versions sont encore dispo. Des zozos les ont sauvegardées. Naturlich, la dernière version est à éviter. J'Invite toutes personnes intéressées par ces question s a visualiser l interviou de Snowden sur NBC. Dispos dans tous les bons trackers et sur le site de la NBC.

 

[zigotino]

L'ANSSI publie sur le sujet :

_http://www.ssi.gouv.fr/fr/menu/actualites/possible-abandon-de-truecrypt-par-ses-developpeurs.html

Excellent article de Korben

_http://korben.info/truecrypt.html?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+KorbensBlog-UpgradeYourMind+%28Korben%27s+Blog+-+Upgrade+Your+Mind%29&utm_content=FaceBook

 

[farid_h]

Pour l'instant, on suppose que les developpeurs ont ete forces par la NSA d'abandonner le projet. Mais au lieu de le livrer a la NSA pour qu'elle le remplisse de backdoors, les developpeurs auraient prefere utiliser la tactique de la terre brulee et d'avertir tout le monde, de facon indirecte (si la NSA les force d'abandonner, elle a aussi un gag order d'un juge pour qu'ils n'admettent pas publiquement avoir ete contactes par la NSA -- d'ou l'avertissement oblique qui est tellement bizarre que tout le monde le comprend malgre tout).

 

[farid_h]

La communaute ne veut pas laisser Truecrypt mourir.

http://truecrypt.ch/

 

[farid_h]

La communaute ne veut pas laisser Truecrypt mourir.

http://truecrypt.ch/

Une autre solution, DoxBox:

http://soylentnews.org/article.pl?sid=14/08/24/1228215

(J'ai pas encore teste).

 

[farid_h]

Grace a un don de $25,000 du moteur de recherche DuckDuckGo, VeraCrypt, le successeur de TrueCrypt, a ete audite par des cryptographes. Le rapport de l'audit est ici:

https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Audit-Final-for-Public-Release.pdf

Les developpeurs ont fixe les problemes critiques, mais ont laisse les problemes non-critiques dans la version actuelle, pour ne pas casser la backward-compatibilite.

Complement d'infos sur l'audit:

https://ostif.org/the-veracrypt-audit-results/

VeraCrypt est disponible ici:

https://veracrypt.codeplex.com/ (en particulier la version actuelle 1.19 pour Windows).

 

[AncienMembre]

@Farid

Tu connais le system de chiffrement des donnes FileVault intégré aux Apple OSX ?

Si oui, Est-ce fiable ?

 

[farid_h]

@Farid

Tu connais le system de chiffrement des donnes FileVault intégré aux Apple OSX ?

Si oui, Est-ce fiable ?

Je ne connais pas personnellement les internals... donc je ne peux pas vraiment dire grand chose la dessus. Desole. J'avais un projet en attente ou je devais me pencher la dessus, mais ca ne c'est pas materialise cote client.

Edit: Si les details t'interessent, il y a un paper dans l'archive cryptographique qui explique bien les details...:

http://eprint.iacr.org/2012/374