Tous les logiciels sont sujets à des défaillances, mais avec les rapports d’espionnage de la NSA et le très grave problème de Heartbleed, il semble que nous soyons confrontés à une crise de la sécurité numérique. Le programme de cryptage classique TrueCrypt vient de contribuer à ce sentiment : son site officiel affiche un étrange avertissement indiquant que le logiciel n’est pas sécurisé et que le projet a apparemment été interrompu.
Avec des versions pour Windows, OS X et Linux, TrueCrypt est un logiciel open source qui permet de créer des volumes cryptés qui peuvent être assemblés en unités virtuelles. Vous pouvez par exemple protéger une partition du disque dur ou un disque flash entier.
Libre, efficace (du moins en apparence), multi-plateforme et relativement facile à utiliser, TrueCrypt est très populaire. Pas étonnant que l’avis publié ces dernières heures sur le site officiel du projet – qui mène en fait à sa page SourceForge – ait suscité une grande inquiétude : le message dit que TrueCrypt n’est pas sécurisé parce qu’il contient des vulnérabilités non patchées.
L’alerte indique également que le développement de TrueCrypt a été fermé ce mois-ci en raison de la fin du support de Windows XP par Microsoft. Les versions actuelles du système disposent déjà d’outils de cryptage et de création de volumes virtuels, il n’y a donc aucune raison de poursuivre le projet.
Il en va de même pour les autres plateformes, c’est pourquoi l’avertissement recommande de migrer les données cryptées via TrueCrypt vers les options disponibles pour chaque système d’exploitation.
À part cela, il n’y a pas d’autre explication. Jusqu’à présent, ce qui s’est passé dans les coulisses du projet est un mystère ! Certaines personnes supposent que les avertissements sont le résultat d’une invasion ou que le certificat TrueCrypt a été “cassé”, par exemple.
Bien que bizarrement formulé, il y a des indications que l’avertissement est effectivement légitime. Les développeurs ont examiné la dernière version du programme (7.2) – mise à disposition uniquement pour aider à la migration vers un autre système de cryptage, selon l’avertissement – et ont trouvé quelques problèmes, tels que des fonctions supprimées et plusieurs références “INSECURE_APP” dans le code source.
Face à tant d’incertitudes, il n’y a aucun doute : il est recommandé aux utilisateurs de TrueCrypt de chercher une alternative le plus rapidement possible. C’est la vieille maxime selon laquelle il vaut mieux prévenir que guérir.
Le fait est que l’univers de TrueCrypt a toujours été un inconnu. Même s’il existe depuis plus de 10 ans, on ne sait pas encore avec certitude qui sont ses les développeurs, par exemple. En outre, il y a eu plus d’une fois des désaccords sur ses licences. Compte tenu de ces aspects, il semble vraiment temps de quitter le bateau.
