Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Affaire TrueCrypt : l’ANSSI commente

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Cela ne vous a probablement pas échappé : le tout-Internet s’interroge sur les raisons de l’arrêt soudain du logiciel Libre de chiffrement TrueCrypt.

Piratage des clés privées de l’un des développeurs anonymes ? Fortes pressions gouvernementales en coulisse ? Plaisanterie de mauvais goût ? Nul ne le sait, mais tout le monde y va évidemment de sa théorie.

Parmi le concert d’articles et de commentaires publiés à ce sujet, la réaction de l’ANSSI a le mérite d’être factuelle. L’agence rappelle ainsi que TrueCrypt a été audité par deux fois en France (en version 7.1a, qui est la dernière avant cette affaire, et en version 6). Dans les deux cas, le produit a reçu une certification ANSSI de premier niveau, ce qui est un gage de sérieux.

Toutefois, par mesure de précaution et face à l’incertitude qui entoure l’arrêt du projet, l’ANSSI recommande plusieurs alternatives, toutes qualifiées : Cryhod, Zed !, ZoneCentral, Security Box et StormShield.

A noter que TrueCrypt faisait l’objet d’un audit de code indépendant au moment où son développement a été brutalement arrêté. La première phase venait de se conclure, sur un avis favorable, et la phase 2 est maintenue.

Enfin, prudence si vous décidez de télécharger la version 7.1, la dernière version pleinement fonctionnelle de TrueCrypt. Il est probablement tentant pour des pirates d’en proposer des versions piégées afin de profiter de la publicité générée par cette affaire…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Affaire TrueCrypt : l’ANSSI commente

  1. Remi THOMAS dit :

    Je pense que cet audit est inutile.
    Le code source n’utilise pas les sockets, donc Truecrypt ne communique pas.
    Une éventuelle faille permettrait le vol du mot de passe utilisé pour protéger un volume crypté. Hors ce mot de passe n’est présent en mémoire que quand ce volume est monté et donc que les données qu’il contient sont lisible par toutes les applications.
    Pourquoi voler un mot de passe alors que les fichiers sont en clair?

    • FYI dit :

      Bonjour,

      Pourquoi un backdoor dans TrueCrypt…. juste pour avoir une clef universelle qui permet de décrypter n’importe quel disque… pas besoins de communications réseaux.

      Cdt.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.