Accueil » Actualité » TrueCrypt… ne crypte plus

TrueCrypt… ne crypte plus

Image 1 : TrueCrypt... ne crypte plus

La nouvelle a fait l’effet d’une petite bombe : le célèbre projet TrueCrypt, la référence open source et mutiplateforme pour le chiffrement de données, ne sera plus développé. La dernière version, la 7.2, qui est la seule téléchargeable sur sourceforge désormais, ne permet plus de chiffrer mais uniquement de déchiffrer les conteneurs et disques cryptés avec les précédentes versions. Le site truecrypt.org ne contient plus que quelques pages, conseillant d’utiliser BitLocker sous Windows ou les archives chiffrées de Mac OS. Mais le plus inquiétant est cet avertissement en rouge en haut de chaque page : 

Image 2 : TrueCrypt... ne crypte plusATTENTION, utiliser TrueCrypt n’est pas sûr car il peut contenir des failles de sécurité non comblées.

Mais pourquoi fermer boutique ? La soudaineté de l’événement, le silence des développeurs, l’amateurisme des pages de truecrypt.org et surtout le fait que TrueCrypt ait été l’un des outils d’Edward Snowden a conduit de nombreux utilisateurs à échafauder un scénario à la Lavabit : les développeurs de Truecrypt aurait reçu une demande du gouvernement américain d’introduire une backdoor dans leur logiciel et auraient préféré saborder leur navire que d’obtempérer.

Toutefois, cette sémillante théorie complotiste ne tient pas vraiment la route. Un internaute a pu contacté un des développeurs de TrueCrypt via une adresse email qu’il avait déjà utilisé lors d’une précédente correspondance et un certain David (la marque TrueCrypt ayant été déposée aux États-Unis par David Tesarik) lui aurait expliqué que TrueCrypt fut abandonné par simple choix, en dehors de toute intervention gourvernementale.

Faut-il dès lors paniquer et cesser d’utiliser TrueCrypt comme le suggère les développeurs ? Non. TrueCrypt 7.1a est distribué depuis février 2012 et n’est pas moins sûr depuis la semaine dernière. Mieux : après la débâcle de la faille HeartBleed dans la bibliothèque OpenSSL, un audit de sécurité indépendant de TrueCrypt a été lancé. Il n’a pour le moment trouvé aucun souci et se poursuit. Enfin, TrueCrypt étant distribué sous licence open source, le code source est disponible et un fork est déjà sur les rails, qui a même son compte twitter, @TrueCryptNext et son site truecrypt.ch. TrueCrypt est peut-être abandonné par ses développeurs, mais il est loin d’être mort.