Vidéo: Protégez vos données avec TrueCrypt (Novembre 2024)
Si vous utilisez TrueCrypt pour chiffrer vos données, vous devez passer à un autre logiciel de chiffrement afin de protéger vos fichiers et même des disques durs entiers.
Le logiciel TrueCrypt à code source libre et librement disponible est populaire depuis dix ans, car il était perçu comme indépendant des principaux fournisseurs. Les créateurs du logiciel n'ont pas été identifiés publiquement. Edward Snowden aurait utilisé TrueCrypt, et l'expert en sécurité, Bruce Schneier, était un autre partisan connu du logiciel. Grâce à cet outil, il était facile de transformer un lecteur flash ou un disque dur en un volume crypté, en protégeant toutes les données qui y étaient stockées des regards indiscrets.
Les mystérieux créateurs ont brutalement arrêté TrueCrypt mercredi, affirmant que son utilisation était dangereuse. "AVERTISSEMENT: l'utilisation de TrustCrypt n'est pas sécurisée car elle peut contenir des problèmes de sécurité non résolus", lisez le texte sur la page SourceForge de TrueCrypt. "Vous devez migrer toutes les données chiffrées par TrueCrypt vers des disques chiffrés ou des images de disque virtuel prises en charge sur votre plate-forme", indique le message.
"Il est temps de commencer à chercher un moyen alternatif de chiffrer vos fichiers et votre disque dur", a écrit le consultant indépendant en sécurité, Graham Cluley.
Consensus: pas un canular
Au début, on craignait que certains attaquants malveillants aient altéré le site, mais il devient de plus en plus évident qu'il ne s'agit pas d'un canular. Le site SourceForge propose désormais une version mise à jour de TrueCrypt (signée numériquement par les développeurs, ce qui n’est pas un hack) qui affiche une alerte lors de la procédure d’installation pour informer les utilisateurs qu’ils doivent utiliser BitLocker ou un autre outil.
"Je pense qu'il est peu probable qu'un pirate informatique inconnu ait identifié les développeurs TrueCrypt, volé leur clé de signature et piraté leur site", a déclaré Matthew Green, professeur spécialisé en cryptographie à l'Université Johns Hopkins.
Que faire ensuite
Le site, ainsi que l'alerte contextuelle du logiciel, contient des instructions sur le transfert de fichiers cryptés par TrueCrypt vers le service BitLocker de Microsoft, intégré à Microsoft Vista Édition Intégrale et Entreprise, Windows 7 Édition Intégrale et Entreprise et Windows 8 Pro et Entreprise. TrueCrypt version 7.2 permet aux utilisateurs de décrypter leurs fichiers mais ne leur permet pas de créer de nouveaux volumes chiffrés.
Bien que BitLocker soit l'alternative évidente, il existe d'autres options à examiner. Schneier a déclaré à The Register qu'il revenait sur le PGPDisk de Symantec pour chiffrer ses données. Symantec Drive Encrpytion (110 USD pour une licence mono-utilisateur) utilise PGP, une méthode de cryptage bien connue. Il existe d'autres outils gratuits pour Windows, tels que DiskCryptor. Expert en sécurité Le Grugq a dressé une liste des alternatives TrueCrypt l’année dernière, ce qui est toujours utile.
Johannes Ullrich du SANS Institute a recommandé aux utilisateurs de Mac OS X de s'en tenir à FileVault 2, intégré à OS X 10.7 (Lion) et versions ultérieures. FileVault utilise le chiffrement XTS-AES 128 bits, identique à celui utilisé par la NSA. Les utilisateurs de Linux devraient s'en tenir à la LUKS (Linux Unified Key Setup) intégrée, a déclaré Ullrich. Si vous utilisez Ubuntu, le programme d'installation du système d'exploitation a la possibilité d'activer le chiffrement intégral du disque dès le début.
Cependant, les utilisateurs auront besoin d'un outil différent pour les lecteurs portables se déplaçant d'un système d'exploitation à un autre. "PGP / GnuPG me vient à l'esprit", a déclaré Ullrich dans le journal des gestionnaires d'InfoSec.
La société allemande Steganos propose gratuitement une version plus ancienne de son outil de chiffrement (la version 15, mais la version 14 est proposée), ce qui n’est pas vraiment idéal.
Vulnérabilités inconnues
Le fait que TrueCrypt puisse présenter des vulnérabilités en matière de sécurité est choquant compte tenu du fait qu’un audit indépendant du logiciel est actuellement en cours et qu’il n’y avait pas eu de tels rapports. Les supporteurs ont collecté 70 000 dollars pour l'audit pour des raisons d'inquiétude, la National Security Agency ayant la capacité de décoder des quantités importantes de données cryptées. La première phase de l'enquête, qui portait sur le chargeur de démarrage TrueCrypt, a été publiée le mois dernier. Il "n'a trouvé aucune preuve de backdoors ou de défauts intentionnels". La phase suivante, qui consistera à examiner la cryptographie utilisée par le logiciel, devait s’achever cet été.
Green, qui était l'une des personnes impliquées dans l'audit, a déclaré qu'il n'avait pas été prévenu d'avance de ce que les développeurs de TrueCrypt avaient prévu. "La dernière fois que j'ai entendu Truecrypt:" Nous attendons avec impatience les résultats de la phase 2 de votre audit. Merci encore de tous vos efforts! ", A-t-il posté sur Twitter. L'audit devrait se poursuivre malgré la fermeture.
Il est possible que les créateurs du logiciel aient décidé d'arrêter le développement, car l'outil est très ancien. Le développement "s'est terminé en 5/2014 après la fin de la prise en charge de Windows XP par Microsoft", indique le message sur SourceForge. "Windows 8/7 / Vista et les versions ultérieures offraient une prise en charge intégrée des disques cryptés et des images de disques virtuels." Avec le cryptage intégré par défaut à de nombreux systèmes d'exploitation, les développeurs ont peut-être estimé que le logiciel n'était plus nécessaire.
Pour rendre les choses encore plus obscures, il apparaît qu'un ticket a été ajouté le 19 mai pour supprimer TrueCrypt du système d'exploitation sécurisé Tails (également un autre favori de Snowden). Quoi qu'il en soit, il est clair que personne ne devrait utiliser le logiciel à ce stade, a averti Cluley.
"Qu'il s'agisse d'un canular, d'un piratage ou d'une véritable fin de vie pour TrueCrypt, il est clair qu'aucun utilisateur soucieux de la sécurité ne se sentira à l'aise de faire confiance au logiciel après cette débâcle", a écrit Cluley.
