Sécurité

Des bogues de sécurité critiques de TrueCrypt enfin trouvés – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Pendant plusieurs années, TrueCrypt a été la référence en matière de suites de décryptage de disque pour PC. Cela a changé il y a près de 18 mois, lorsque les personnes qui ont développé le logiciel ont brusquement démissionné. Les développeurs ont déclaré que le logiciel existant n’était «  » pas sécurisé car il peut contenir des problèmes de sécurité non résolus « , a fourni une version finale du logiciel pour décrypter les données et a arrêté le projet. C’était d’autant plus déroutant que deux audits de sécurité approfondis n’ont trouvé aucun bogue significatif. À partir d’aujourd’hui, cela a changé.

Le chercheur en sécurité James Forshaw a découvert deux bogues critiques dans le programme qui pourraient compromettre la machine d’un utilisateur final. Bien que ni l’un ni l’autre n’ait permis à un attaquant d’accéder à une porte dérobée, le registre rapporte que les deux auraient pu être utilisés pour installer des logiciels espions sur la machine hôte ou enregistrer des frappes au clavier. L’un ou l’autre aurait pu être suffisant pour permettre à un attaquant de capturer la clé de chiffrement du lecteur, en fonction de la qualité des pratiques de sécurité des utilisateurs finaux.

ForshawTwitter

On ne sait pas comment ces bogues ont échappé aux audits de code effectués au cours de l’année écoulée, mais il est tout à fait possible que Forshaw et les équipes d’audit d’origine se soient concentrées sur différents Aspects de TrueCrypt. Le deuxième rapport d’audit, publié plus tôt cette année, indique que : « les différentes implémentations AES dans les configurations XTS parallèles et non parallèles étaient un point d’attention particulier ». Les bogues de Forshaw, en revanche, semblent tous deux être liés à d’autres aspects du système. Comme le note Forshaw ci-dessus, même les audits ne détectent pas tous les bogues.

Ces bogues ont été corrigés dans le fork de TrueCrypt, VeraCrypt, qui les a patchés tous les deux le 26 septembre. Notez que les liens actuels vers les descriptions de chaque bogue sont 403’d, Forshaw attend généralement une semaine pour télécharger les descriptions.

Psssssst :  Comment la DARPA forme des machines pour protéger ses actifs numériques avec le Cyber ​​Grand Challenge - High-teK.ca

Nous ne saurons jamais pourquoi les auteurs de TrueCrypt ont quitté le projet. De toute évidence, ces bogues, bien qu’importants, peuvent toujours être corrigés sans compromettre le système. De toute évidence, VeraCrypt a pu les résoudre rapidement, une fois que Forshaw a attiré l’attention sur eux. Ce que nous savons, cependant, c’est qu’il y a maintenant de très bonnes raisons de s’éloigner de l’utilisation de TrueCrypt et de s’orienter vers l’un des forks activement maintenus ou des solutions alternatives. TrueCrypt lui-même s’est maintenant avéré suffisamment défectueux pour ne plus être digne de confiance.

Si vous êtes intéressé par les logiciels sécurisés, y compris le chiffrement intégral du disque, nous avons abordé le sujet beaucoup plus tôt cette année. VeraCrypt est actuellement l’alternative la plus recommandée à TrueCrypt, mais c’est loin d’être la seule option. OS X et Windows offrent tous deux la prise en charge du chiffrement intégral du disque – si vous avez besoin d’une alternative à TrueCrypt, ils existent.

Bouton retour en haut de la page