L’analyse de TrueCrypt se poursuit

Les développeurs anonymes à l’origine de l’outil de chiffrement TrueCrypt ont beau avoir jeté l’éponge, la semaine dernière, son audit public va se poursuivre. C’est en tout cas l’intention affichée de Kenneth White et de Matthew Green. Dans une publication sur Twitter, les équipes en charge de l’audit on en effet indiqué « poursuivre l’analyse cryptographique formelle de TrueCrypt 7.1 » et « espérer produire un rapport d’audit final dans quelques mois. » Mais à quelles fins ? Un peu plus loin, ils indiquent « étudier plusieurs scénarios », dont le support d’un fork du code originel « sous licence appropriée. » De fait, certains problèmes légaux semblent avoir été identifiés, à commencer par le fait que le nom TrueCrypt est une marque déposée.

Si les développeurs de l’outil de chiffrement estiment que BitLocker de Windows offre une réponse satisfaisante aux besoins de chiffrement complet de disques, certains ne partagent pas cet avis. D’autant plus que les résultats de la première phase d’audit de TrueCrypt se sont avérés plutôt positifs. Les experts d’iSEC Partners indiquaient alors avoir identifié 11 problèmes dans le périmètre étudié - analyse technique du code source et juridique de sa licence -, la plupart relevant d’une sévérité moyenne ou faible, trois problèmes ne relevant que d’une sévérité d’ordre informationnel. Certes, les experts soulignaient alors que « globalement, le code source tant pour le bootloader que pour le pilote Windows de niveau noyau n’atteignent pas les niveaux de standard » exigibles pour un « code sûr. Mais c’était surtout la faute à un manque de commentaires et à l’utilisation de fonctions peu sûres ou obsolètes, ou encore à des types de variables incohérents. Bref, rien qui, à priori, ne semble pas avoir pu faire l’objet d’un nettoyage…