• #TrueCrypt is not secure,” official SourceForge page abruptly warns http://arstechnica.com/security/2014/05/truecrypt-is-not-secure-official-sourceforge-page-abruptly-warns

    Speculations include a massive hack of the TrueCrypt developers, some Lavabit-like forced shutdown, and an internal power struggle within TrueCrypt. I suppose we’ll have to wait and see what develops.
    https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html

    #cybersécurité

    • Un avis intéressant sur la question :

      L’audit de sécurité initial fait par iSec était très critique à l’égard de la qualité du code de TrueCrypt [1], déduisant que ce devait être l’œuvre d’un seul développeur. Il n’y eut pas de mise à jour pendant deux ans. Le processus de compilation requiert un compilateur Microsoft vieux de 20 ans [2], extrait manuellement d’un installateur exécutable.

      Imaginez-vous comme le développeur principal et solitaire travaillant sur TrueCrypt. Personne ne vous paie pour ça, les gouvernements vous détestent, la plupart de la communauté cryptographique vous lance des pierres dessus, et pendant ce temps la communauté des utilisateurs passe la moitié de son temps à participer à une paranoïa sans fondement, pendant que l’autre moitié pleurniche sur des fonctionalités manquantes.

      Vous devez manger, donc vous avez un vrai boulot, salarié. Vous n’êtes plus si jeune (commettant TrueCrypt depuis une décennie) et peut-être que votre vrai boulot amène des reponsabilités qui prennent le pas sur vos travaux en dilettante. Ou alors vous avez peut-être une famille que vous aimez plus que les geignards paranoïaques auxquels vous vous heurtez en développant TrueCrypt.

      Et maintenant iSec vous annonce que votre code est illisible, et qu’il faudrait une somme ahurissante de travail pour le clarifier. Ils en déduisent qu’une session d’écriture de code arrosée au Scotch en 2005 (ou peut-être du code dont vous aviez hérité d’un développeur précédent) a donné lieu à une béance exploitable, que bientôt tout le monde qualifiera de porte dérobée installée par la NSA.

      Alors peut-être que vous laissez tout tomber. Pourquoi pas ? Quiconque avec un système d’exploitation à jour dispose d’une alternative à TrueCrypt et, aussi imparfaite soit-elle, elle est meilleure que TrueCrypt pour la majorité des utilisateurs. [3] Maintenir TrueCrypt n’est pas vraiment bénéfique pour beaucoup de personnes, et l’audit en question n’a fait que remonter la partie la moins intéressante de la maintenance en priorité de premier ordre. On dirait que c’est le bon moment pour tout arrêter et devenir l’entraîneur de foot de vos enfants.

      http://postblue.info/truecrypt-cest-fini