La page Web officielle de TrueCrypt indique maintenant:
AVERTISSEMENT: l'utilisation de TrueCrypt n'est pas sécurisée car elle peut contenir des problèmes de sécurité non résolus
Cette page existe uniquement pour faciliter la migration des données existantes chiffrées par TrueCrypt.
Le développement de TrueCrypt a pris fin en 5/2014 après que Microsoft a mis fin à la prise en charge de Windows XP. Windows 8/7/Vista et versions ultérieures offrent une prise en charge intégrée pour les disques cryptés et les images de disque virtuel. Un tel support intégré est également disponible sur d'autres plateformes (cliquez ici pour plus d'informations). Vous devez migrer toutes les données chiffrées par TrueCrypt vers des disques chiffrés ou des images de disque virtuel prises en charge sur votre plate-forme.
avec des instructions détaillées sur la façon de migrer vers BitLocker ci-dessous.
Est-ce une annonce officielle ou juste une ruse attaque de défusion ?
À ce stade, ce n'est pas encore clair. La spéculation est rampante quant à savoir s'il s'agit d'une dégradation ou d'une retraite officielle.
Cela dit, il convient de noter que la dernière version de TrueCrypt (avant la version 7.2 qui est maintenant publiée) a plus de deux ans. De plus, aucun effort apparent n'a été fait pour prendre en charge le chiffrement du disque entier sur Windows 8, qui est encore plus ancien que TrueCrypt 7.1a si vous comptez dans les versions préliminaires publiquement disponibles de la première.
De nombreux utilisateurs de Windows 8 qui s'appuyaient auparavant sur TrueCrypt sont probablement déjà migrés vers Bitlocker pour le chiffrement du disque entier, donc déplacer le reste de leurs données protégées par TrueCrypt (s'ils ne l'ont pas déjà fait) est une étape logique de toute façon. Pour quelqu'un d'autre, il serait probablement préférable d'attendre que tout ce gâchis soit nettoyé.
La première phase de audit TrueCrypt , couvrant le chargeur de démarrage et les pilotes du noyau Windows, a révélé moins d'une douzaine de vulnérabilités - les pires d'entre elles étant classées comme étant de gravité "Moyenne". Le rapport a également déclaré que le code source "ne répondait pas aux normes attendues pour le code sécurisé".
L'une de leurs recommandations mentionnait:
En raison de normes de qualité laxistes, la source TrueCrypt est difficile à examiner et à maintenir. Cela rendra les bugs futurs plus difficiles à trouver et à corriger.
Une autre note disait:
L'environnement de build Windows actuellement requis dépend d'outils de build obsolètes et de packages logiciels difficiles à obtenir à partir de sources fiables.
Tout cela, avec le délai de deux ans dans les nouvelles versions et le manque de prise en charge complète des derniers systèmes d'exploitation, donne à croire facilement que l'équipe de TrueCrypt pourrait effectivement jeter l'éponge. S'ils décidaient de le faire, TrueCrypt deviendrait en fait peu sûr de la même manière que Windows XP l'est maintenant - toutes les failles de sécurité récemment découvertes ne seraient pas corrigées. Une différence clé entre TrueCrypt et Windows XP cependant, est que des alternatives compatibles peuvent toujours être développées et mises à jour car TrueCrypt est un logiciel open source.
Pourtant, l'annonce très soudaine et inattendue mérite certainement un certain scepticisme. Jusqu'à ce que la nouvelle soit validée, je suggère que vous ne fassiez confiance à rien publié sur le site Web de TrueCrypt ou la page SourceForge - en particulier pas le nouveau téléchargement "7.2".
Mise à jour: 2014-05-29 0645Z
Brian Krebs a signalé sur la question, et a donné un bon raisonnement pour expliquer pourquoi ce n'est probablement pas un canular. De plus, il mentionne que les personnes derrière IsTrueCryptAuditedYet.com continueront leur travail malgré l'état actuel du projet logiciel.
Bien sûr, la spéculation continue de sévir en ligne. Cependant, bien que l'anonymat continu de l'équipe de développement TrueCrypt rende presque impossible toute confirmation indéniablement authentique de leur statut. Matthew Green a fait une juste remarque dans ce Tweet cependant:
Mais plus précisément, si la clé de signature Truecrypt a été volée et que les développeurs TC ne peuvent pas nous le faire savoir - c'est une raison suffisante pour être prudent.
Vraiment, quel que soit le statut de la clé de signature en particulier, le fait que les développeurs TrueCrypt ne puissent pas (ou du moins jusqu'à présent ne semblent même pas avoir fait d'efforts pour) émettre une communication distincte et faisant autorité pour valider ce qui est arrivé à leur site Web devrait être assez pour soulever des préoccupations importantes. Si l'équipe TrueCrypt l'appelle, il est temps de passer à autre chose et de trouver/faire des alternatives. Sinon, leur manque de réponse hors bande à cet incident soulève de sérieuses questions (plus que jamais) quant à savoir à quel point nous pouvons vraiment leur faire confiance pour maintenir le type de logiciel auquel nous voulons faire confiance avec nos secrets les plus précieux.
Quel que soit le statut, il est probablement préférable de rechercher des solutions alternatives. Les recommandations sur le site TrueCrypt ne sont pas mauvaises en général. Cependant, ils sont loin de quelques fonctionnalités pour lesquelles TrueCrypt était connu et apprécié:
Mise à jour: 29/05/2014 1450Z
Jack Daniel a très bien résumé mes sentiments sur le sujet maintenant, dans un Tweet récent :
Donc, oui: hack, troll, ragequit, peu importe - le silence signifie que l'organisation TrueCrypt ne peut pas être approuvée, pas plus que TrueCrypt. Zut.
Mise à jour: 2014-05-30 1545Z
GRC a publié des déclarations selon lesquelles les développeurs de TrueCrypt ont été entendus, via Steven Barnhart.
https://www.grc.com/misc/truecrypt/truecrypt.htm
Si la source peut être crue (encore une fois, l'anonymat public de l'équipe de développement TrueCrypt rend une certaine authentification presque impossible), alors TrueCrypt n'est en effet plus activement travaillé par l'équipe d'origine. De plus, la licence empêche quiconque d'être légitimement autorisé à écrire un nouveau "TrueCrypt" (bien qu'il soit possible qu'ils puissent le bifurquer sous un nom différent).
Une chose importante à noter, bien que GRC soit peut-être un peu trop dramatique à ce sujet et puisse même surestimer sa valeur, est que la dernière version entièrement fonctionnelle de TrueCrypt (7.1a) est - à la connaissance du public - toujours "sûr" à utiliser. Jusqu'à ce que des vulnérabilités importantes et exploitables soient découvertes, il n'y a vraiment aucune raison de considérer 7.1a comme intrinsèquement plus "dangereux" au moment de l'annonce de truecrypt.org qu'il ne l'était à aucun moment auparavant.
Cela dit, il faut également garder à l'esprit (comme indiqué précédemment dans cet article) que les vulnérabilités découvertes dans TrueCrypt 7.1a ne seront pas corrigées dans les futures versions. Ainsi, il est toujours sage de commencer à chercher d'autres alternatives. Il en va de même ici comme pour Windows XP - la seule différence substantielle étant que XP a un profil beaucoup plus élevé et s'accumulera très probablement très longtemps). liste des vulnérabilités non patchables (certaines existent probablement déjà) beaucoup plus rapidement.
Le Open Crypto Audit Project a tweeté un lien vers une "archive de confiance" des versions de TrueCrypt pour ceux qui recherchent des copies plus anciennes qui ne sont plus disponibles sur truecrypt.org:
https://github.com/DrWhax/truecrypt-archive
Merci à @ Xander pour avoir signalé l'article GRC.
De manière significative, TrueCrypt version 7.2 a été certifié avec la clé de signature privée TrueCrypt officielle. Cela suggère que la page avertissant que TrueCrypt n'est pas sûr n'était pas un canular publié par des pirates qui ont réussi à obtenir un accès non autorisé. Après tout, quelqu'un qui a la capacité de signer de nouvelles versions de TrueCrypt ne dilapiderait probablement pas ce piratage avec une farce. Alternativement, la publication suggère que la clé cryptographique qui certifie l'authenticité de l'application a été compromise et n'est plus sous le contrôle exclusif des développeurs officiels de TrueCrypt. histoire d'ArsTechnica
Bien que ce soit certainement dramatique, une plus grande certitude de ce qui se passe serait Nice de la part de l'équipe TrueCrypt. Ce manque de confirmation sensible de la part des personnes connectées à TrueCrypt renforce la théorie de la dégradation.
EDIT: Dans la discussion Hacker News cette affiche prétend que les clés n'ont été mises à jour que 3 heures avant de signer la nouvelle version.
Même clé que les binaires précédents? J'en doute, étant donné que les clés ont été remplacées à peine 3 heures avant la publication des nouveaux binaires
EDIT2: A représentant SourceForge dit:
Fournir quelques détails de SourceForge:
Nous n'avons eu aucun contact avec l'équipe du projet TrueCrypt (et donc aucune réclamation).
Nous ne voyons aucun indicateur de compromis sur le compte; l'utilisation actuelle est cohérente avec l'utilisation passée.
Notre récent changement forcé de mot de passe SourceForge a été déclenché par des améliorations de l'infrastructure et non par un compromis. FMI voir http://sourceforge.net/blog/forced-password-change/
Avant ce changement, il y avait une clé publique gpg sur leur site Web. Si c'était pour de vrai, j'ose dire qu'ils auraient au moins signé le message.
En outre, Truecrypt est un projet open source donc il n'y a aucun moyen que "le développement ait cessé. N'importe qui pourrait continuer le développement ou corriger des bugs. Beaucoup de logiciels libres et open source sont largement maintenus par une communauté.
Je ne vois pas du tout comment cette annonce a du sens. L'écrivain pourrait attirer des gens vers Bitlocker puis exploiter un bogue dans Bitlocker, bien qu'il semble très tiré par les cheveux car il n'est pas exploitable à distance/en masse. Ou il pourrait simplement vouloir jouer avec les utilisateurs à cause du mauvais sang (en supposant qu'il était un développeur et avait ainsi accès au site Web).
En regardant les enregistrements DNS historiques, l'adresse IP ne semble pas avoir changé. Au moins, ce n'est pas un autre piratage DNS.
Edit: Je viens de lire que le binaire a été signé, c'est donc un gros hack ou un développeur voyou. Pendant ce temps, mon argent est toujours sur FUD: le message aurait été différent s'il y avait vraiment eu des problèmes. Au moins, il n'aurait pas suggéré un logiciel propriétaire en remplacement.