odilon

artiste aux mains pleines de doigts - visionscarto.net

  • L’étrange disparition du logiciel de #chiffrement TrueCrypt
    http://www.lemonde.fr/pixels/article/2014/06/04/l-etrange-disparition-du-logiciel-truecrypt_4431134_4408996.html

    Mercredi 28 mai, un message énigmatique apparaît en lettres rouges sur le site de chargement du logiciel de cryptage #TrueCrypt : « Attention : l’usage de TrueCrypt n’est pas sécurisé, car il contient peut-être des failles de sécurité non résolues. » Chez les cryptologues professionnels et amateurs du monde entier, c’est la consternation et la confusion. Depuis une décennie, TrueCrypt est présenté par les experts et les médias comme le meilleur logiciel de chiffrement à la disposition du grand public, gratuit, et relativement facile à utiliser.

    Après avoir découvert l’avertissement sur les « failles non résolues », les visiteurs du site de TrueCrypt vont de surprise en surprise. Sans donner d’explications, l’équipe annonce qu’elle cesse immédiatement de travailler sur TrueCrypt, et propose en téléchargement une version de secours, servant uniquement à déchiffrer les fichiers déjà cryptés. Encore plus étonnant : elle recommande aux possesseurs d’un ordinateur Windows d’utiliser Bitlocker, le logiciel commercial de Microsoft – une hérésie pour la communauté de l’open source et les militants de l’Internet libre.

    • Des blogueurs imaginent un scénario encore plus noir. En recommandant TrueCrypt, Edward Snowden en a peut-être fait une cible pour le gouvernement américain. Si une partie de l’équipe se trouve aux Etats-Unis, ou dans un pays plus ou moins satellite, elle a peut-être été contrainte par une autorité judiciaire de cesser ses activités. La justice aurait pu, de surcroît, lui interdire de faire savoir à quiconque ce qui leur arrivait, en édictant un « gag order » (« obligation de silence »), une procédure courante aux Etats-Unis et au Royaume-Uni. Selon les partisans de cette théorie, la recommandation, si incongrue, d’utiliser le logiciel Bitlocker de Microsoft serait en fait un moyen détourné de faire savoir que rien ne va plus. Certains craignent même que la version limitée proposée depuis le 28 mai soit piégée, ou que l’équipe de TrueCrypt soit infiltrée de longue date. Cela dit, en réalité, le mystère reste entier.

      Dans une interview publiée par le site Krebsonsecurity, Matthew Green se dit inquiet : « Peut-être ont-ils tout abandonné précisément parce que nous avons commencé notre audit. » Il envisage déjà de former une équipe de remplacement, qui reprendrait TrueCrypt pour l’améliorer. Or, TrueCrypt n’est pas vraiment un logiciel libre, il est protégé par une licence compliquée. Seuls des juristes experts en propriété intellectuelle pourront dire si une nouvelle équipe a le droit de s’emparer du code et de le modifier.