Cyber-sécurité : la disparition mystérieuse de Truecrypt, anecdote ou guerre des ombres ?

Un mois après que le logiciel truecrypt a mystérieusement disparu des radars, et en l'absence des boîtes noires, l'énigme reste entière et les tentatives d'explication se succèdent...

est un logiciel de chiffrement à la volée, qui permettait de stocker des données à protéger dans un disque virtuel chiffré contenu dans un unique fichier (conteneur), et d'utiliser ce disque virtuel de la même manière qu'un disque physique réel en créant, modifiant, détruisant... des documents stockés dans ce disque.

Outre le fait que truecrypt était multi-plateformes (Windows, MacOS, Linux), il avait l'avantage de permettre de nier de façon plausible l'utilisation d'un logiciel de chiffrement et même de cacher à l'intérieur de données chiffrées d'autres données chiffrées avec une autre clé.

Soulignons que truecrypt était une protection robuste et facile à mettre en oeuvre, et donc largement utilisée. Bien des ONG, dont , et conseillaient l'utilisation de truecrypt: même arrêté en possession d’une clé USB « truecryptée », on peut toujours nier son utilisation, et protéger ses données sensibles emboitées bien que forcé de révéler le mot de passe du volume principal...

Mais le 28 mai 2014, truecrypt disparaît... Pschitt ! Un dernier de l'équipe de développement: "Using truecrypt is not secure, migrate to BitLocker" est . Une dernière version, ne permettant plus que le déchiffrement, est proposée et toutes les versions antérieures se sont évaporées. Quand on sait que BitLocker, logiciel Microsoft similaire à truecrypt, offre des backdoors à la NSA, on reste perplexe.

Depuis, les spéculations vont bon train, renforcées par le fait que l'équipe de développement de truecrypt est restée anonyme jusqu'à la fin et n'a jamais révélé l’identité des développeurs ni où ils vivent. De la crise de lassitude des développeurs, au sabordage délibéré, en passant par la main de la NSA, toutes les hypothèses sont permises. Les développeurs, lassés après des années de travail, ont-ils décidé d'arrêter? Mais alors, pourquoi le faire aussi brutalement, et ? Ont-ils craint une remise en cause de leur travail à l'approche de la publication des résultats d'un audit du code de truecrypt, anticipant la publication d'une faille de sécurité critique? Pourtant, l'audit en question n'a pour l'instant rien révélé d'inquiétant.

Mais des hypothèses plus sombres semblent réalistes: . Si l'équipe de développement se trouve aux USA ou dans un pays satellite, elle peut avoir été réduite au silence par une décision de justice lui interdisant de communiquer sur cette injonction (le "gag order" ou obligation de silence, légale au Etats-Unis ou au Royaume-Uni). La recommandation hallucinante d'utiliser BitLocker serait alors un moyen détourné de faire savoir ce qui est arrivé.

Une autre hypothèse est tout aussi inquiétante. Il est très difficile de recompiler truecrypt sur windows à partir du code source, ce qui permettrait d'inclure des vulnérabilités dans les versions binaires distribuées, vulnérabilités qui n'existeraient pas dans le code source. La licence de truecrypt n'est pas vraiment open source: le code source est disponible, mais la licence inclut des restrictions de distributions qui ont eu pour conséquence le bannissement de truecrypt des distributions Linux. Ajoutant à ces constatations le fait que jusqu'à récemment le code de truecrypt n'avait jamais été revu par des développeurs indépendants et par des cryptologues reconnus, certains en tirent la conclusion que truecrypt est compromis depuis ses débuts et a toujours contenu une backdoor permettant à des agences gouvernementales américaines de déchiffrer les conteneurs truecrypt. Quand on connaît l'intérêt énorme de la NSA pour toutes les technologies de chiffrement, une telle théorie peut séduire.

Aucune conclusion définitive sur la disparition de truecrypt ne peut être tirée. Mais ce qu'on ne peut que répéter aujourd'hui, c'est que confier ses données confidentielles à un logiciel de chiffrement est une décision trop lourde de conséquences pour être prise sans garanties solides, telles qu'une équipe de développement connue, un processus de développement ouvert et faisant appel à des audits de code réguliers, une licence réellement open source. Autant d'éléments qui manquaient au développement de truecrypt et qui auraient pu éveiller des inquiétudes...

François Dechelle, Paris, 26/06/2014