TrueCrypt a été interrompu, essayez ces alternatives gratuites

Published by on août 8, 2018 in Sécurité de l'Information

bank vaults

TrueCrypt est un utilitaire de chiffrement de disque gratuit et open source initialement lancé en 2004. Le logiciel gratuit a été abandonné en mai 2014 et à ce jour, il n’est plus maintenu.

TrueCrypt est utilisé pour créer des partitions chiffrées sur des disques durs ou créer des disques virtuels chiffrés dans un fichier. Une fois chiffrées, les données stockées sur une partition sont uniquement accessibles grâce à un mot de passe. TrueCrypt était une solution de chiffrement utilisée par des millions d’utilisateurs sur les systèmes d’exploitation Mac OS X et Windows.

Après que ses développeurs – restés anonymes – ont abandonné TrueCrypt dans des circonstances quelque peu mystérieuses, des théories évoquant des failles de sécurité potentielles pouvant compromettre les données des utilisateurs sont apparues. La plus accablante d’entre elles est venue de l’équipe de sécurité Project Zero de Google, qui a révélé deux vulnérabilités auparavant inconnues. L’une d’entre elles permet à une application s’exécutant avec des privilèges utilisateur d’élever ces privilèges au niveau administrateur.

TrueCrypt est-il sécurisé?

En 2015, le Fraunhofer Institute for Secure Information Technology (Institut Fraunhofer pour la Sécurité des Technologies de l’Information) a réalisé un audit formel de la dernière version stable de TrueCrypt. Le rapport de 77 pages a relevé la présence de plusieurs autres bogues, mais a finalement conclu que TrueCrypt est sécurisé s’il est utilisé aux fins pour lesquelles il a été conçu au départ. C’est-à-dire, pour chiffrer des données au repos comme sur un disque dur externe ou une clé USB. L’Institut a reconnu que les bogues détectés par Google existent bel et bien, mais qu’ils ne peuvent pas être exploités par des pirates pour accéder à des données chiffrées.

Bien que le chiffrement des données sur un disque externe ne pose aucun problème pour l’Institut, il n’en a pas été de même lorsqu’il s’est agi de chiffrer des données stockées dans la mémoire d’un ordinateur ou sur un disque monté. Si un disque est monté, la clé utilisée pour crypter les données est stockée dans la mémoire de l’ordinateur. Cette clé peut donc être récupérée ultérieurement puis utilisée pour déchiffrer ces données.

Pourtant, la probabilité qu’un pirate soit en capacité de profiter de telles circonstances est assez mince. Soit le disque chiffré doit être monté, auquel cas les données déchiffrées seront de toute façon disponibles, soit l’ordinateur devra passer en mode veille prolongée avec le disque chiffré monté. Si une personne accède à un ordinateur alors qu’un disque chiffré est ouvert, toutes les données pourront quoi qu’il en soit être déchiffrées. Dans le cas contraire, les utilisateurs ne doivent pas autoriser les ordinateurs équipés de lecteurs montés chiffrés à passer en veille prolongée alors qu’un disque chiffré est ouvert.

Dois-je utiliser TrueCrypt?

Si vous disposez d’un système d’exploitation assez ancien où une des versions originales de TrueCrypt est installée et que vous ne l’utilisez pas sur des disques montés, vous pouvez être tranquille, sauf si un des scénarios improbables évoqués ci-dessus se produit. Pour les lecteurs montés, TrueCrypt est légèrement moins sûr pour les raisons énoncées ci-dessus.

Mais si vous n’êtes pas encore utilisateur de TrueCrypt, le télécharger et l’installer pourrait mettre vos données en danger. N’oubliez pas que ce logiciel a été abandonné il y a plus de deux ans et qu’il n’est plus disponible au téléchargement (tout du moins de manière officielle) depuis lors. Il est vrai que certains sites Web et torrents prétendent proposer une copie authentique de TrueCrypt, difficile de savoir si elle n’a pas été falsifiée, surtout si vous n’êtes pas expert en la matière.

Certains utilisateurs préfèrent opter pour des copies archivées disponibles sur Github, où le code peut être consulté librement. Mais la plupart de ces sources n’ont pas été auditées par des experts, tout simplement parce que la procédure est longue et onéreuse. Le projet Open Crypto affirme que la version 7.1 de TrueCrypt téléchargeable sur Github a été vérifiée.

Même s’il n’existe aucune preuve qu’une telle affirmation soit exacte, certains utilisateurs prétendent que la sécurité de TrueCrypt est compromise par l’existence de plusieurs portes dérobées utilisées par le gouvernement.

Si vous voulez vraiment utiliser TrueCrypt, c’est probablement la meilleure décision. Mais nous vous recommandons chaudement d’essayer des alternatives plus récentes. Certains de ces outils de chiffrement sont directement dérivés de TrueCrypt, alors que d’autres ont été développés séparément.

Alternatives à TrueCrypt

Voici un aperçu de ces alternatives, vous trouverez plus d’informations sur chacune d’entre elles ci-dessous :

  • VeraCrypt est un logiciel open source basé sur TrueCrypt (un fork, un nouveau logiciel créé à partir du code source d’un logiciel existant) qui fonctionne sur Mac et PC et qui permet la création de disques virtuels chiffrés, son code a été audité.
  • Bitlocker est intégré à Windows, il n’est pas open source, il chiffre uniquement les disques complets, et ne dispose d’aucun mécanisme de déni plausible.
  • DiskCryptor est un outil fonctionnant uniquement sous Windows, il est open source mais non audité. Il permet au bootloader d’être installé sur une clé USB ou un CD, et est plus rapide que les autres.
  • Ciphershed est un fork de TrueCrypt, il est compatible avec les anciens disques chiffrés avec TrueCrypt, les mises à jour sont lentes, mais il fonctionne sur Mac, PC et Linux.
  • FileVault 2 est intégré à Mac OS X Lion et aux versions suivantes, il permet uniquement le chiffrement complet du disque, et n’est pas open source.
  • LUKS est un logiciel open source qui fonctionne sous Linux, il supporte plusieurs algorithmes, mais n’est pas compatible avec beaucoup d’autres systèmes en dehors de Linux.

VeraCrypt

VeraCrypt est un fork de TrueCrypt et est largement considéré comme son successeur. ll propose toutes les fonctions de TrueCrypt, et en fait même un peu plus. VeraCrypt ajoute à la sécurité des algorithmes utilisés pour le chiffrement des systèmes et des partitions. Selon les développeurs, ces améliorations immunisent le logiciel contre tout nouveau développement en termes d’attaques par force brute. Vous pourrez trouver une liste complète des améliorations et corrections de VeraCrypt par rapport à TrueCrypt ici.

VeraCrypt utilise 30 fois plus d’itérations que TrueCrypt lors du chiffrement des disques et des partitions. Il faut donc un peu plus de temps pour que la partition démarre et que les lecteurs s’ouvrent, mais cela n’affecte pas l’utilisation de l’application.

VeraCrypt est gratuit et open source, et le restera. Le code est régulièrement audité par des chercheurs indépendants. Étant un fork de TrueCrypt, VeraCrypt lui ressemble beaucoup, les audits du logiciel original s’appliquent donc toujours.

VeraCrypt prend en charge deux types de dénis plausibles – l’existence de données chiffrées peut être niée, car personne ne peut prouver que ces données non chiffrées existent. Les volumes cachés sont stockés dans l’espace libre des volumes visibles – espace qui serait rempli de valeurs aléatoires si le volume caché n’existait pas. Les systèmes d’exploitation cachés existent en plus des systèmes d’exploitation visibles. Si une personne vous oblige à lui remettre votre mot de passe, vous pouvez simplement lui donner le mot de passe du système d’exploitation visible.

Bitlocker

Bitlocker est un logiciel uniquement disponible sous Windows utilisé pour chiffrer des volumes entiers en utilisant l’algorithme de chiffrement AES avec une clé de 128 ou 256 bits. Contrairement à TrueCrypt et VeraCrypt, Bitlocker n’est pas capable de créer des lecteurs chiffrés. La totalité de la partition doit être chiffrée.

Bien que cette solution convienne à certaines personnes, n’oubliez pas que si une autre personne l’utilise, tous vos fichiers seront visibles. Windows dispose d’un système de chiffrement distinct appelé EFS (Encrypting File System) pour chiffrer des fichiers et des dossiers uniques, mais ceux-ci sont également accessibles à chaque fois que l’utilisateur est connecté.

Bitlocker n’est pas open source, le grand public ne peut donc pas l’inspecter afin de déceler la présence éventuelle de portes dérobées. La coopération de Microsoft avec la NSA peut décourager beaucoup d’utilisateurs potentiels. D’autres ont manifesté leur inquiétude lorsque Microsoft a supprimé Elephant Diffuser – une fonctionnalité qui empêchait toute modification d’un disque chiffré – pour des raisons de performances.

Bitlocker ne dispose pas de mécanisme de déni plausible, même s’il est possible de faire valoir que le contenu de votre disque dur a été modifié à cause de l’absence de la fonction Elephant Diffuser. Mais il est permis de douter de cette hypothèse.

Bitlocker vérifie que les pirates n’ont pas modifié le logiciel utilisé pour démarrer l’ordinateur.

DiskCryptor

DiskCryptor est une autre solution de chiffrement de disque complet fonctionnant sous Windows uniquement. Au regard des autres options présentées ci-dessus, très peu d’analyses de sécurité formelles ont été effectuées sur DiskCryptor, même si le logiciel est open source. Nous ne savons pas grand-chose non plus sur ses auteurs ni sur leurs motivations. Les doutes quant à la fiabilité de cet outil restent donc nombreux. Alors pourquoi est-il si populaire?

DiskCryptor est rapide et très facile à utiliser. Il demande beaucoup moins de ressources et chiffre plus vite que TrueCrypt. DiskCryptor utilise le chiffrement AES 256-bits, Twofish, Serpent ou une combinaison d’algorithmes en cascade en mode XTS pour protéger vos données. Serpent est connu pour être la méthode la plus rapide.

DiskCryptor prend en charge le chiffrement de périphériques externes, comme des disques durs, des clés USB, des CD et des DVD. Il prend en charge plusieurs options multi-boot.

Si vous voulez cacher quelque chose à la NSA, DiskCryptor n’est probablement pas la meilleure option. Mais il fera parfaitement l’affaire si votre ordinateur est volé ou si un neveu un peu trop curieux essaie d’accéder à vos fichiers.

DiskCryptor propose une fonctionnalité de déni plausible qui vous permet d’installer le bootloader sur un support USB ou un CD. Sans le bootloader, le contenu chiffré du disque dur d’un ordinateur est un espace vide rempli de données aléatoires. L’inconvénient de cette approche est que vous devez toujours utiliser le bootloader CD ou USB pour démarrer votre ordinateur et déchiffrer les données.

CipherShed

Tout comme VeraCrypt, CipherShed est un fork de TrueCrypt. Il est disponible sous Windows, Mac OSX et Linux, mais il doit être compilé pour ces deux derniers. La première version non alpha a été mise en ligne en février 2016, mais il n’y a toujours pas de version officielle (version 1.0 ou ultérieure).

Le développement de CipherShed semble être beaucoup moins rapide que celui de VeraCrypt, il avance lentement mais sûrement. Les défauts de TrueCrypt ont été corrigés.

En plus d’être en retard en termes de développement, CipherShed ne tire pas vraiment son épingle du jeu face à VeraCrypt. Vous pouvez effectuer un chiffrement complet du disque ou créer des lecteurs chiffrés.

Un de ses principaux avantages est notamment que CipherShed peut être utilisé avec des lecteurs TrueCrypt, alors que les versions plus récentes de VeraCrypt n’en sont plus capables. La dérivation de clé plus importante de VeraCrypt (itérations mentionnées ci-dessus) rend le logiciel incompatible avec les lecteurs TrueCrypt, mais lui confère sans doute plus de sécurité.

Pour le déni plausible, CipherShed s’appuie sur les volumes cachés – tout comme VeraCrypt.

FileVault 2

FileVault 2 est la réponse d’Apple à Bitlocker. Initialement lancé avec OS X Lion, ce logiciel destiné aux Mac utilise un algorithme AES-XTC 128 bits pour le chiffrement complet du disque. Le mot de passe de connexion de l’utilisateur est utilisé comme clé de chiffrement.

Similaire à Bitlocker, FileVault 2 ne dispose d’aucune option permettant de créer des lecteurs chiffrés. Cela signifie qu’une fois que vous êtes connectées sur votre MacBook, les données de votre disque dur ne sont plus chiffrées et restent visibles jusqu’à l’extinction du système.

Un autre point commun avec Bitlocker : FileVault 2 n’est pas open source. Cela signifie qu’il ne peut pas être audité par le grand public et peut contenir des portes dérobées.

LUKS

LUKS, réservé aux utilisateurs de Linux, est basé sur cryptsetup et utilise dm-crypt en tant qu’arrière-plan de chiffrement de disque. Abréviation de Linux Unified Key Setup, LUKS fait appel à un format sur disque standard indépendant de la plate-forme afin de pouvoir utiliser les données dans divers outils.

LUKS ne dispose pas de toutes les fonctionnalités de VeraCrypt ou des autres logiciels de cette liste, mais il offre plus de flexibilité en termes d’algorithmes de chiffrement.

LUKS n’apprécie pas vraiment passer d’un système d’exploitation à un autre, mais fonctionne vraiment bien sous Linux, même si les utilisateurs de Windows peuvent accéder aux disques chiffrés avec LUKS en utilisant LibreCrypt.

LUKS ne permet pas le déni plausible.

Un mot sur le déni plausible

Ne choisissez pas votre logiciel de chiffrement en vous basant sur la présence ou non d’un mécanisme de déni plausible. C’est effectivement un bonus, mais ce n’est pas une très bonne défense.

En matière de chiffrement de disque, le déni plausible signifie que personne n’est en mesure de prouver qu’il existe des données chiffrées sur votre ordinateur parce que ces données chiffrées ne ressemblent pas vraiment à des données, juste à des valeurs aléatoires.

Le problème étant que ces valeurs peuvent sembler un peu trop aléatoires, et un véritable expert peut repérer certains signes qui indiquent qu’un disque a été chiffré (c’est ce qu’on appelle «l’analyse entropique»). Le débat consistant à savoir si un déni plausible pourrait effectivement se produire lors d’une procédure judiciaire ou dans une salle de torture est largement ouvert.

Utilisez un VPN pour chiffrer les données en transit

Le chiffrement de disque protégera vos données lorsque celles-ci sont au repos sur votre ordinateur ou sur un disque externe, mais il ne sera d’aucune utilité lorsqu’elles sont transmises sur Internet. Pour cela, vous aurez besoin d’un VPN.

Abréviation de Virtual Private Network, un VPN (réseau privé virtuel) chiffre la totalité du trafic Internet d’un appareil et l’achemine via un serveur intermédiaire vers l’emplacement de votre choix. Le tunnel de chiffrement protège les données en transit et empêche votre FAI et toute autre personne présente sur le réseau local de vous espionner. Une fois que les données ont quitté le serveur VPN, elles ne sont plus chiffrées, mais tout le trafic semblera provenir de l’adresse IP du serveur et non de la vôtre. L’adresse IP du serveur VPN est généralement partagée par des dizaines, voire des centaines d’utilisateurs, garantissant ainsi la confidentialité de vos activités en ligne. Vous pouvez consulter notre sélection des meilleurs services VPN ici.

« Bank vaults under Hotels in Toronto, Ontario » par Jason Baker sous licence CC BY 2.0

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.