TrueCrypt: faut-il croiser les effluves ?

Je viens de m’entendre dire (encore) par un expert en sécurité informatique américain que TrueCrypt ne devait plus être prescrit, jamais, à quiconque. C’est comme croiser les effluves : c’est mal. Il me semble que cette position manque de nuance.

TrueCrypt est un logiciel de chiffrement de données, open source, multi plate-formes,  Mac, Windows, Gnu Linux, et qui, fait rarissime pour un logiciel de cryptographie, jouit d’une interface utilisateur simple.

Le logiciel n’est plus officiellement maintenu depuis mai 2014. Les auteurs du logiciel, anonymes, ont annoncé qu’ils arrêtaient le développement après 10 ans de bons et loyaux services. Ils ont publié en mai sur leur site, Truecrypt.com, une version 8 du logiciel qui ne peut plus chiffrer mais uniquement déchiffrer ainsi que des recommandations étranges, préconisant l’utilisation du logiciel Bitlocker, dont personne à part Microsoft n’a audité le code.

Parallèlement à ces événements, une autre équipe a décidé de relancer le projet TrueCrypt avec comme slogan « TrueCrypt must not die ». Sur leur site, Truecrypt.ch, ils ont mis à disposition la version 7.1a du logiciel, auditée en février 2014. Je me permet de les citer :

There are no signs that there is any known security problem within TrueCrypt 7.1a and the audit will go on uninterrupted.

Parallèlement à ces événements parallèles, dans les formations que j’anime pour Reporters sans frontières,  TrueCrypt 7.1a est l’un des logiciels qui reçoit le plus l’attention de la part participants. Ils voient en effet tout de suite le potentiel de l’outil : simplicité, déni plausible, possibilité d’utiliser un fichier comme clé de chiffrement, etc.

L’expert en sécurité américain n’a pas dû avoir souvent l’occasion de se confronter à des gens de la vraie vie. Lorsque je lui ai posé la question : « Ok, ami fasciste, tu dis qu’il ne faut pas utiliser TrueCrypt parce que sinon des bébés chats vont mourir, mais quelle alternative proposes-tu ? »

Réponse : « Luks, BitLocker, Pgp ».

• Bitlocker : logiciel privateur dont seul Microsoft connaît le code ;
• Luks : pas multi plate formes puisqu’il n’existe d’implémentation satisfaisante sous Windows ou sous Mac OS ;
• PGP : pas très user friendly.

L’expert m’a également décrit  les avantages et inconvénients de chacune de ces solutions, à peu de choses ceux listés ci-dessus. Sa position se résumait à : « N’utilise pas TrueCrypt. Par ailleurs, il n’existe aucune alternative satisfaisante ». Ce qui n’est au final pas une position.

Merci pour ton intervention l’ami mais je crois que je vais me passer de tes conseils et continuer à préconiser une solution simple à utiliser, dont le code open source a été audité il y a peu. TrueCrypt a encore quelques mois devant lui, sinon plusieurs années si l’équipe de TrueCrypt.ch arrive  à reprendre le projet. En plus ça a l’air plutôt bien parti :

CipherShed has complied with the original TrueCrypt license. Now completing security review for alpha release to ensure safety of your data

— TrueCryptNext (@TrueCryptNext) September 8, 2014

Pour ceux nés après 1984, la référence au croisement des effluves :
https://www.youtube.com/watch?v=oiQG6tP3940