Après un an de d’incertitude, le très populaire logiciel de chiffrement TrueCrypt sort lavé de tout soupçon de son audit de sécurité. Depuis longtemps, TrueCrypt est largement utilisé pour le cryptage des fichiers informatiques. Le logiciel permet de créer des disques virtuels cryptés dans lesquels les utilisateurs peuvent déposer tous types fichiers et verrouiller l’ensemble avec un mot de passe. Mais les révélations sur la surveillance systématique effectuée par gouvernement - portées à la connaissance du public en 2013 en grande partie par d’Edward Snowden - ont fait planer quelques doutes, jusqu’à se demander si le logiciel était vraiment sécurisé.

Pour vérifier les 70 000 lignes de code de TrueCrypt, un groupe appelé Open Crypto Alliance a pu réunir plus de 70 000 dollars grâce à une campagne de financement communautaire. En avril 2014, la première phase de cette vérification n'avait détecté aucun problème majeur. Cependant, au mois de mai qui a suivi, les développeurs de TrueCrypt ont brusquement abandonné leur logiciel, encourageant les utilisateurs à se tourner vers d’autres alternatives comme BitLocker, VeraCrypt ou CipherShed. Et pendant plusieurs mois, les utilisateurs se sont même demandés si le projet d'audit était maintenu.

Le travail continue avec les forks de TrueCrypt 

Finalement, le projet est reparti en février 2015, et la deuxième phase de la vérification est aujourd’hui terminée. « Dans le genre, TrueCrypt semble relativement bien conçu », a écrit le cryptographe Matthew Green dans un blog. « L'audit NCC n'a trouvé aucune preuve de portes dérobées délibérées ou de défauts de conception graves qui pourraient nuire à la sécurité du logiciel dans la plupart des cas ». Ce dernier fait cependant remarquer que le logiciel n’est pas complètement dépourvu de failles. « Par exemple, il y a un problème avec le générateur de nombre aléatoire dans la version Windows de TrueCrypt. Mais la probabilité que ce défaut mineur ou tout autre défaut puissent avoir de graves conséquences est faible », a encore écrit le cryptographe.

Cet avis est important, car même si les développeurs de TrueCrypt se sont éloignés de leur logiciel, les utilisateurs peuvent raisonnablement continuer à l’utiliser en confiance. Tout aussi important : ceux qui veulent créer un fork du code source de TrueCrypt sauront également qu'ils disposent d’une base de travail solide.

L'audit complet est disponible ici.