20 Jun 2014

La fin de TrueCrypt

Opinion publiée précédemment sur MacQuebec.

Opinion publiée précédemment sur MacQuebec.

Comme une bombe, le 28 mai dernier, le site de TrueCrypt a annoncé la fin du projet sous une déclaration incendiaire voulant que le logiciel contienne des failles de sécurité importantes.

Une telle annonce laisse la place à beaucoup de spéculations et de conjectures. Les différentes théories énoncées ne tiennent pas la route et ont été réfutées par le seul fait que les fondateurs de TrueCrypt ont précisé qu’ils mettent fin au projet sans plus de raison et ils ont démenti les rumeurs de complot.

Que faire avec l’annonce que TrueCrypt n’est pas sécuritaire? Dans un avenir rapproché, le chiffrement offert par TrueCrypt n’a pas été démontré comme étant faible. L’audit du code est toujours en cours et c’est seulement à la fin de celui-ci qu’il sera possible de tirer une conclusion. L’avis que TrueCrypt a déposé sur son site ne sert qu’à préciser qu’il existe une possibilité future qu’une faille soit découverte et qu’à ce moment, il pourra être conclu que TrueCrypt ne protège pas adéquatement les données.

Que faire me direz-vous? Pour les utilisateurs des dernières versions d’OS X, FileVault 2 permet de chiffrer le disque en entier selon les critères de FIPS 140-2. Il est aussi possible de créer des « spare bundle » chiffrés jusqu’à AES-256. Sous Windows, il est possible d’utiliser Bitlocker, mais par contre il faut payer pour la version pro de Windows. Sous Linux, il existe plusieurs moyens, souvent offerts par la distribution elle-même, de chiffrer le disque en entier.

Pour terminer, il est important de rappeler qu’aussi solide soit le chiffrement qui protège vos données, si le mot de passe servant à le déverrouiller est faible, elles ne seront pas plus en sureté.