Truecrypt : une histoire éclairante

Une tempête a soufflé la semaine dernière sur Internet. Oh, pas une de ces tempêtes médiatiques basée sur un lolcat truculent, un président enscooterifié ou un buzz médiatique facile, et c’est probablement pour cela que vous n’en avez pas entendu parler. Il n’en reste pas moins que ce qui s’est passé autour de Truecrypt est particulièrement intéressant.

logo truecryptAvant d’aller plus loin, rappelons que Truecrypt est un logiciel gratuit, dont le code source est disponible, qui permet de chiffrer des données sur un disque dur. Le chiffrage est ainsi fait que l’utilisateur légitime, qui fournit son mot de passe au démarrage de la machine, ne voit pas la différence avec un disque dur normal (non chiffré) ; l’encryptage est réalisé à la volée, de façon transparente pour le système d’exploitation ou l’utilisateur. En revanche, un utilisateur qui ne dispose pas de la clé d’accès ne pourra pas lire le disque ainsi chiffré.

Ce logiciel existe depuis une dizaine d’années, et son mode de fonctionnement très simple mais efficace lui a valu une excellente renommée auprès de ses millions d’utilisateurs. Le cryptage utilisé (qui peut être basé sur AES, Serpent et Twofish) est suffisamment solide pour que le FBI, notamment, ne parvienne pas à le casser dans une affaire financière où des disques, saisis comme pièces à conviction, n’ont pas livré leurs secrets après des mois d’analyse par le bureau fédéral américain.

C’est donc avec consternation que mercredi 31 mai, la page officielle du logiciel qui présentait le produit a été remplacée par une page rudimentaire expliquant essentiellement que Truecrypt n’est pas sûr, et que l’utiliser ne permet pas d’assurer la confidentialité de ses données. La consternation est d’autant plus grande que l’ensemble du message est rédigé et signé avec les clés habituelles des développeurs officiels du produit, et qu’il invite les utilisateurs à se rabattre sur Bitlocker pour Windows, produit notoirement connu pour disposer de facilités spécifiques de décryptage pour les autorités américaines. Or, jusqu’à présent, Truecrypt avait pour lui d’avoir résisté à l’épreuve du temps en n’ayant jamais présenté de grandes vulnérabilités. En outre, un audit de la cryptographie utilisée est actuellement en cours pour déterminer sa solidité générale. Les failles rapportées en avril dernier ne montraient en tout cas rien qui permette de classer le produit comme à ce point dangereux à utiliser. D’ailleurs, l’un des pontes de la cryptographie, Bruce Schneier, expliquait récemment continuer à utiliser le produit malgré les quelques problèmes découverts.

Le reste de l’audit permettra peut-être de trouver une faille suffisamment importante pour remettre en cause le modèle utilisé par Truecrypt depuis 2004, année de son apparition, mais on peut légitimement en douter. En tout cas, les exécutables des versions historiques, disponibles sur la version précédente du site avant ce revirement dramatique, n’ont pas montré d’anomalies douteuses.

nsa backup copy

La situation est donc particulièrement étrange puisqu’on découvre qu’une équipe, qui a travaillé pendant dix ans sur un produit qui a déjà largement prouvé son efficacité, vient de saborder complètement son travail en redirigeant ses utilisateurs vers des alternatives douteuses. Les rumeurs vont évidemment bon train sur les forums spécialisés, mais essentiellement, trois hypothèses surnagent au milieu des différentes possibilités plus ou moins farfelues :

– D’une part, il pourrait bien y avoir une grosse faille de sécurité, grosse au point que les développeurs ont préféré saborder leur outil plutôt que l’admettre ou tenter de la réparer. C’est évidemment une réaction très étrange d’autant que le code source, largement disponible, aurait permis une correction rapide par la communauté des développeurs intéressés à la survie et à la maintenance du projet.

– D’autre part, il pourrait s’agir d’une méthode de la part de l’équipe de développement pour laisser tomber tout support du produit, et inciter (par la peur, donc) le reste du monde à reprendre en charge le développement. Cette hypothèse intéressante est développée ici, et permet en tout cas de relativiser la disparition de la page officielle et des codes sources des précédentes versions. Du reste, internet étant ce qu’il est, on trouve facilement des bibliothèques qui contiennent toutes les versions de Truecrypt jusqu’à mercredi dernier.

– Enfin, la nouvelle page du site rapidement bricolée tendrait à faire penser à un « warrant canary », expression américaine utilisée dans un cas assez spécifique de législation américaine : en substance, lorsqu’un fournisseur de service reçoit une assignation secrète (essentiellement celles en lien avec le Patriot Act, article 18 U.S.C. §2709(c)), il lui est interdit de divulguer à des tiers son statut légal (grossièrement équivalent à une mise en examen), mais il peut, sur demande d’un client, indiquer si, sur une période donnée, il n’était pas sujet à une telle assignation. Par analogie, l’acte étrange de l’équipe de développement de Truecrypt serait une forme de mise en garde minimaliste permettant de prévenir les utilisateurs que l’ensemble de l’équipe a subi des menaces ou des pressions de la part d’une organisation gouvernementale et qu’à ce titre, l’ensemble des développements de Truecrypt est sujet à caution.

on the internet nobody knows youre a dogL’avenir dira peut-être ce qu’il en est exactement, mais au-delà des péripéties qui secouent actuellement le monde de la cryptographie et celui, plus large, des logiciels de chiffrement de disques à la volée, on peut néanmoins noter qu’encore une fois, la communauté Internet a prouvé sa capacité d’organisation. En effet, moins d’une semaine après l’annonce surprise de l’abandon de Truecrypt est apparu un nouveau site, Truecrypt.ch, dont les auteurs entendent reprendre le flambeau, incorporer les corrections éventuelles que l’audit, toujours en cours, auraient jugées nécessaires, et maintenir le code actuel. On ne peut, à ce stade, présumer de la capacité de ce binôme de développeurs à maintenir le code et le produit, mais leur prompte réaction montre en tout cas que le chiffrement de données personnelles est une idée jugée suffisamment importante pour mobiliser rapidement les énergies.

Et c’est le cas : d’un côté, nous avons des institutions gouvernementales dont les moyens grossissent de façon exponentielle, et dont le but ultime est bien de tout savoir sur vos plus intimes motivations, vos convictions religieuses, politiques ou sentimentales. Pour celles-là, la cartographie précise de chaque être humain est devenu un préalable non seulement nécessaire mais aussi techniquement réalisable (ce qui est encore plus effrayant) à leur soif inextinguible de contrôle. Ces institutions ne reculeront devant aucun moyen pour vous ficher, quand bien même (de l’aveu même de ceux qui y travaillent) la masse de données résultante ne leur sera pas utile pour remplir leur ordre de mission officiel. Terrorisme, crimes et délits, oubliez ça : ces technologies servent d’abord et surtout à surveiller tout le monde.

De l’autre, il n’existe guère que ces moyens cryptographiques pour se préserver quelques domaines de vie vraiment privée, où l’État et ses agences ne pourront venir mettre leur yeux. Il est donc absolument impératif que des systèmes voient le jour, soient maintenus et massivement utilisés pour assurer à chaque humain un minimum de protection contre les grandes oreilles gouvernementales.

Cette affaire Truecrypt montre encore une fois qu’aucune technologie n’est acquise, aucune sécurité n’est trop forte contre les moyens que déploient les États pour asservir leurs populations. Et cette affaire montre aussi, heureusement, que nombreux sont ceux qui en ont conscience et qui sont prêt à sacrifier leur temps et leur savoir pour calmer les ardeurs gouvernementales.

J'accepte les BCH !

1BuyJKZLeEG5YkpbGn4QhtNTxhUqtpEGKf

Vous aussi, foutez les banquiers centraux dehors, terrorisez l’État et les banques en utilisant les cryptomonnaies, en les promouvant et pourquoi pas, en faisant un don avec !
BCH : qqefdljudc7c02jhs87f29yymerxpu0zfupuufgvz6
 

Commentaires157

      1. Black Mamba

        Ah! Tout en finesse … le flak tire sur tout ce qui l’ennuie …Tout un poème …

        1. Petit Poney

          Je me demande bien où vous allez piocher tous ces avatars plus suggestifs les uns que les autres, chère BM 😀

            1. Calvin

              OK, je ne cliquerai pas sur le lien…
              Je ne cliquerai pas sur le lien…
              Je ne cliquerai pas sur le lien…
              Je ne cliquerai pas sur le lien…
              Je ne cliquerai pas sur le lien…

              Oups…

        2. Aristarque

          Laissez, BM et Petit Chat.
          Le royaume des cieux lui est très largement ouvert, béant même…

            1. André Rosa

              « Beati pauperes spiritu » Heureux les pauvres en esprit, c’est à dire ceux qui ont l’esprit de pauvreté, qui, même s’ils sont riches de fait, ne sont pas attachés à leurs richesses. Il peut s’agir des richesses matérielles, mais aussi des talents personnels, de la culture, ou de la supériorité morale. Tout cela est utile mais ne doit pas servir de critère suprême, gouverner notre vie, restreindre notre liberté.

              1. Othello

                Arrêtez de boire, apprenez le grec ancien, lisez Saint Matthieu dans le texte. Merci.

                1. Othello

                  µακάριος veut VRAIMENT dire simple d’esprit. Après, il y a l’Idiot de Dostoievsky, toussa, mais bon, c’est après 🙂

  1. turlututu

    Merci, même si c’est de plus en plus risqué de venir vous lire avec délectation chaque matin !

    1. ironbooboo

      C’est plutôt pour notre hôte que c’est risqué. Peut-il recevoir une de ces assignations secrètes ?

      1. Aristarque

        C’est le jour où nous verrons s’ afficher un post de sa part aux commentaires dignes d’ un laudateur éperdu d’ admiration vantant les bienfaits des actions de Duflot C. Filipetti A. ou de NVB pour ne citer qu’ elles, que nous comprendrons que son masque à gaz a cédé aux assauts des vapeurs méphitiques des agences de l’ Etat-qui-veut-notre-bien.

  2. pouf pouf

    Le surveillant automatisé de mon pâté de maison vient d’envoyer mon signalement virtuel au ministère de la délation qui avisera. Notre tyran bien-aimé, Vldmr Bof, dans la toute puissance de sa grande intelligence ingénieuse a eu l’idée, pour accompagner la présomption d’innocence, de rajouter un ministère avant les bâtons qui font mal et les grilles qui privent de tout, comme un purgatoire dantesque posé là parce que c’est bien pratique quand même.
    Le ministère de la délation examine tous les cas qui lui sont soumis, étudie et avise, évidemment, comme tout bon ministère qui fait son travail correctement. On étudie, on avise, et on recommence. Mon téléphone sonne pour déchirer l’atmosphère d’un son horrible et strident : « Bonjour monsieur le directeur des cabinets, une infraction de type deux vient d’être commise depuis votre adresse ip, est-ce normal ? », « si fait mon bon airdeux, je suis le père de l’infraction, mon code préférentiel est un ».
    – merci de votre coopération et bonne soirée.
    Ca évite surtout bien des ennuis quand devant l’homme, la fonction veille …

    1. La Coupe Est Pleine

      Vous avez vraiment un esprit prolifique …. ça rend presque jaloux !
      Ou honteux de ne pouvoir espérer en faire autant un jour.

  3. guillaume

    Ce n’est pas nouveau. PGP, créé par Zimmermann en 1991 avait déja eu à subir les foudres de la justice Américaine pour les mêmes raisons.
    Et cela existe même pour des protocoles normalisés. Par exemple, tous les bits de chiffrements du protocole GSM se sont pas utilisés pour que la police puisse déchiffrer les communications plus facilement.

    1. Etienne

      Au passage je rappelle que jusqu’en 1996, PGP était considéré comme une arme de guerre en fRance… et son utilisation totalement libérée seulement en 2004… (et ssh aussi) Enfin ce n’est pas ça qui empêchait son utilisation, bien entendu.

    2. yp

      A l’époque de la définition du protocole GSM, c’était les allemands qui voulaient un cryptage sûr (peur des soviets).

      Déjà à cette époque, le pays le plus réfractaire au chiffrement des communications était la France… On se rappelera aussi de la législation limitant le chiffrement à 64 bits, puis de l’autorisation des clefs fortes à condition de les déposer chez un « tiers de confiance »…

      Cela dit, beaucoup de pays interdisent encore purement et simplement le chiffrement…

      1. David

        Le simple fait d’avoir sur soi une clé SecurID (pour accès à un VPN professionnel), même si on s’en sert pas, peut valoir de gros ennuis quand on va en Israel ou aux USA …

        1. Nord

          Euh??? Sources plîze, parce que je me suis rendu souvent dans ces deux pays avec ladite clef sans jamais avoir été inquiété hein!

  4. La Coupe Est Pleine

    Pas mal l’idée d’un cloud fourni par la NSA ! On aurait la garantie de sécurité des données au moins.
    Faut vite soumettre ça à Montebourde !

    (Quoi qu’il en soit l’image est géniale !)

      1. La Coupe Est Pleine

        Purée ! Me dites pas que vous aviez déjà ça en stock ?
        C’est très bien fait ! C’est de vous ?

      2. LeRus

        Ahaha, très bon!

        Mais, certains d’entre nous sommes gâtés, puisque nous pouvons aussi compter sur le FSB comme stockeur attentionné. Double your pleasure, double your fun!

        1. Semaphore

          La CIA a la réputation de monter des sociétés commerciales bidons pour camoufler ses antennes placées en tous lieux. Il n’ est pas difficile d’ imaginer la NSA agissant de même en créant des sociétés de cloud pour piéger »à domicile ». Toujours ça de boulot d’ approche en moins!

          1. simple-touriste

            Est-ce que la CIA fournit de bons services de VPN et de stockage?

            Leurs prix sont compétitifs?

    1. bob razovski

      Bonne idée.

      Bientôt en france, le MON, pour Montebourg Ordinateur Nuage.

      « Tu peux perdre tes données, on peut perdre tes données, mais de toutes façons, tu es coupable et c’est toi qui payes »

      😉

      1. ironbooboo

        En 56k, pour pas déborder la commission d’insertion de bisounours dans les intertubes.

      2. Nocte

        Le pire, c’est qu’il y a bien une idée de Cloud à la Française… (2, même…)
        Bon… on attend toujours les offres commerciales, mais à titre personnel, je préfère encore me péter les dents sur Openstack que de déposer un iota de données personnelles ou professionnelles dans un cloud dont l’initiateur est l’Etat.

  5. Olivier Vitri

    Je ne sais pas si c’est tout à fait à propos, mais, dans un autre style, Truecrypt me rappelle certains systèmes de stockage en P2P qui incluaient cryptage et répartitions de blocs entre participants … Prémices de clouds privés totalement décentralisés donc inattaquables et réellement sécurisés. Des systèmes qui ne datent pas d’hier mais restent très actuels pour contrer certaines des ‘ardeurs gouvernementales’ qui nous préoccupent aujourd’hui; la norme du client-serveur centralisé reste certainement la faille essentielle pour s’en mettre à l’abri. Et à l’heure du ‘Cloud total’ des géants du Web, tout reste à faire…

  6. Fll

    Dans une précédante SSII, on avait un service crypto, on devait fournir les clés de cassage au fur et à mesure pour qu’on ai le droit de déployer le produit … donc bon, c’pas nouveau. Je parle de cela, ca date de 1997…
    Sinon rien à voir, mais juste pour prouver l’enfumage de ces enculés aux gouverne-ment !!

    « Les chefs d’entreprise ne verront aucune différence sur leur feuille d’impôt en 2015. Il y aura bien une baisse d’un milliard de la C3S (impôt sur le chiffre d’affaires) mais l’essentiel des 6 milliards de suppression ne devrait avoir lieu qu’en 2017, année de l’élection ».
    « Il faudra s’acquitter dès l’année prochaine de la taxe carbone, dont on ne connaît pas les détails mais qui atteindra plusieurs centaines de millions pour les entreprises. Et aussi de l’écotaxe, remaniée par le Parlement, qui rapportera 1 milliard. Sans oublier la surtaxe sur l’impôt sur les sociétés, prolongée d’un an, soit plus de 2,5 milliards. S’ajoute à ce cocktail toxique un risque très fort sur la fiscalité locale. »

    http://www.lemonde.fr/economie/article/2014/06/04/pacte-de-responsabilite-le-medef-denonce-un-harcelement-fiscal_4431460_3234.html

    Lisez les commentaires, c’est à pleurer. CPETF mais pas uniquement à cause des gouvernants, mais aussi à cause des boulets de français. Finalement, ils méritent bien leur misère… mais pas nous, on avait rien demandé …

    1. yp

      Vous avez de la chance de pouvoir commenter / lire des coms sur le site du monde…

      Mais comme prévu, le piège du pacte de responsabilité se referme sur les engreprises :

      François Rebsamen, le ministre du travail, a rappelé, sur RTL, que le patronat avait « pris des engagements » et qu’il n’était « pas acceptable » de les remettre en cause et de « renier sa signature ». « Il va falloir qu’on s’explique, a-t-il déclaré. C’est incroyable, alors même que le gouvernement fait un effort sans précédent d’entendre sans arrêt les entreprises se plaindre, geindre, pleurnicher »

      Sales enculés de patrons ! Enculés, vous dis-je !

      1. yp

        Bon j’ai coupé des morceaux de l’article, mais j’ai utilisé un mot « snip » entre «  » ^pour matérialiser mes éditions, ce qui a été interprêté comme une balise html… Bref… Citation tronquée, non conforme à l’article original (mais conforme à son esprit)…

      2. Nocte

        c’était une évidence.

        L’Etat Français qui lâcherait du leste à sa vache-à-lait ? Il s’est défaussé de sa responsabilité.

        « On a réduit vos impôts -au moins officiellement- le chômage est toujours en hausse, vous n’avez pas respecté vos engagements, il nous faudra donc durcir le ton ».

        Version la flambe en 2017, ça sera : j’ai donné les moyens aux entreprises de recruter, elles ne l’ont pas fait, la hausse du chômage n’est pas de mon fait.

  7. petit-chat

    Une question pratique : d’anciennes versions de Trucrypt seraient donc, à la lecture de l’article, plus fiables que les dernières versions (dans l’hypothèse de pressions gouvernementales sur les développeurs pour introduire des failles facilitant le piratage de données privées) ?
    Si oui, j’en ai de (très) anciennes…

    1. lolo

      c’est la question que je me posai au sujet de truecrypt.ch, un groupe est éliminé, un autre surgit, peut être avec un passe droit lié à un arrangement ?

      1. petit-chat

        Pas impossible. J’ai la version 2.8 chargée il y a quelques années, et je la garde au cas où…
        Ce n’est pas de la paranoïa, c’est de l’observation !

  8. Pere Collateur

    Je suis (du verbe suivre) cette histroire depuis son début, et vous avez très bien résumé et vulgarisé les évènements.

    Maintenant, concernant le pourquoi, on le saura peut etre un jour ou pas.

    En ce qui concerne ces histoires de disque dur crypté, sachant que Linux propose ces fonctionnalités nativement, si pression de la NSA il y a vraiment, on devrait pas tarder à voir ce genre d’évènement se reproduire.

    A titre personnel, je crypte tous mes disque durs ext4 avec cryptsetup sous linux.
    Pas que j’ai des choses super secrètes à cacher, mais juste que même si il n’y a rien à voir, ca ne regarde que moi, et surtout pas Obama.

    Bref, cryptez vos disques durs, signez et si possible encryptez vos emails, cryptez vos chat (chat, les conversations, pas les lol cats).
    Même si il n’y a rien d’important, ca ne regarde que vous et ca fait chier les gouvernements. Donc mangez en!

    1. Fll

      Pour info, y’a pas mal de rumeurs concernant des ajouts à la demande de très haut, pour l’intégration d’outils facilitant les décryptages dans les noyaux linux depuis le 2.x.x .. Ce qui ne m’étonnerait pas totalement..

        1. Fll

          Tant que ce n’est pas prouvé, c’est une rumeur. Désolé, mais je n’ai jamais eu la preuve. Quand j’ai écris mon post, je pensais justement à cette question à Linus. Hors, justement, il dit qu’il à été contacté, mais pas ce qu’il à fait ou ce qui a été mis en place. Donc, rumeurs pour le moment. Même si ca pue quand même pas mal.

          1. Caton

            D’accord. Un peu comme les rumeurs concernant Lavabit ou le service de mail de Silent Circle, donc: des rumeurs qui puent quand même pas mal, mais juste des rumeurs.

            1. simple-touriste

              Concernant Lavabit :

              http://www.thoughtcrime.org/blog/lavabit-critique/

              So how did it actually work? And if, as they said, they weren’t capable of reading their users’ emails, how could they have been in a position to provide those plaintext emails to the US government?

              Unfortunately, their primary security claim wasn’t actually true.

              Réplique du créateur de Lavabit :
              http://arstechnica.com/security/2013/11/op-ed-lavabits-founder-responds-to-cryptographers-criticism/

              Marlinspike is assuming that the Lavabit system was designed to be a substitute for the security provided by end-to-end encryption systems like PGP. It was not. Lavabit’s encrypted storage feature was designed solely to protect e-mails at rest.

              Critique de la réplique du créateur de Lavabit :
              https://news.ycombinator.com/item?id=6691214

              Similarly, Levison’s surprise that the DOJ could compel him to hand over TLS keys (in a configuration that Marlinspike points out wasn’t even forward-secure — that is, a configuration that provided sub-Google levels of resilience versus DOJ) doesn’t have anything to do with Marlinspike’s argument. If Levison’s own keys determine the security of the system, it is an avert-your-eyes system. However meaningful you believe avert-your-eyes promises to be, the are undeserving of promotional security copy that discusses the details of asymmetric encryption.

              En conclusion : Lavabit n’était pas plus robuste que Gmail contre le FBI, et rien ne remplace le chiffrement de bout en bout.

    2. Caton

      Voilà. Et pour ceux qui disent qu’on a rien à craindre si on n’a rien à cacher, pourquoi mettent-ils leur courrier sous enveloppe?

  9. Jesrad

    La meilleure explication des faits est que l’équipe de TrueCrypt a été ordonnée par un juge de livrer ses clés privées et d’incorporer une backdoor dans le logiciel, et de garder le silence à ce sujet.

    Ils ont obéi à la lettre à cet ordre… tout en s’assurant de ne pas compromettre la sécurité des versions précédentes. Chapeau bas.

    1. petit-chat

      +1
      vegeta va être content, c’est une forme de résistance courageuse et très honorable.

  10. mlallier

    Le site korben.info indique des alternatives à truecrypt.

    Un article intéressant sur les modifications apportées par certains constructeurs d’ordinateurs pour qu’un logiciel espion trouve facilement sa place.

  11. Blablator

    Pour ceux qui occasionnellement veulent pouvoir surfer, travailler ou avoir une activité Internet sans laisser de traces sur votre PC, il y a le système Tails qui s’installe sur une clé USB (https://tails.boum.org/), mais il faut vraiment lire une bonne partie de la documentation.
    C’est ça qui est désolant : l’ordinateur même neuf connecté à Internet est TOUJOURS une passoire, il faut se donner beaucoup de mal pour avoir un minimum de sécurité et de de vie privée

    1. petit-chat

      Je dirais SURTOUT s’il est neuf, avec toutes les couches constructeurs qui se connectent à tout va à internet pour des mises à jour bidons.

  12. labolisbiotifool

     » l’ensemble des développements de Truecrypt est sujette à caution.  » C ‘ est de l ‘ homophilie déguisée ? : )

  13. BenOui

    Un bon nombre d’alertes sécurités informatiques dans plusieurs domaines se propagent actuellement.

    À prendre avec des pincettes, mais une chose cependant se confirme, la neutralité du net (l’internet à plusieurs vitesses suivant le porte-monnaie) est dans le collimateur des lobbys FAI entre autres aux US.

    Pour comprendre avec le sourire le Buzz du moment:

    Sous-titre Franchouille:

    http://www.dailymotion.com/video/x1ybocf_john-oliver-hbo-neutralite-du-net-vostfr_tech#from=embediframe

    En VO:

    https://www.youtube.com/watch?v=fpbOEoRrHyU

    N’oubliez jamais : IL N’Y A PAS DE SÉCURITÉ EN INFORMATIQUE. Print in our head for ever.

    Évitez le Cloud si vous tenez à votre tranquillité d’esprit.

    La guerre c’est tous les jours, la paix c’est la mort.

  14. MadeInCH

    Vous avez remarqué?

    Le souneau site à un nom de domaine (et prtobablement le serveur) en « .ch »

    CH= Civilised Home.
    Oops, pardon, je recommence:
    CH=Confederation Helvétique (En Français Napoléonien, je vous pris. La version latine, Confederation Helvetica, a été choisie plus tard par respects pour le me muiltilinguisme de l’Helvétie.

    Note: EN Suisse, il n’y a pas de restrictions sur la cryptographie.

  15. LM

    Merci H16 de parler de cela.
    Je suis intimement convaincu qu’il s’agit d’un canary warrant comme dans le cas de lavabit.

  16. Petit Poney

    Concernant TC, ce qui est intéressant c’est que ce qui est annoncé est: « Using TrueCrypt is not secure ». On parle de l’utilisation, pas du produit, c’est un peu étonnant comme formulation.

  17. MadeInCH

    Petit détail.

    Si il y a un backdoor dans l’OS, alors une fois que vous avez démarré votre machine et que vous vous connectez à l’internet, alors votre disque dur est visible aux programmes (Word, Excel, Firefox, CadeauGratuitPourVous, GratuitSauvegardezVotreCarteDeCréditCheznous,…) que votre disque dur soit crypté ou pas!

    Un utilitaire comme TrueCrype est utile en cas de vol/perte du disque, ou si la police vient le prendre.

    Mais pas contre l’espionnage en ligne!

  18. nofreedom

    Fun fact,
    le warning de la page officielle est éclairant:
    « ….TrueCrypt is Not Secure As …. » = TrueCrypt is NSA ?

    1. Semaphore

      Peut être un acrostiche pour attirer l’attention (discrètement) sur le fait d’ avoir été placé sous contrôle de la NSA, de près ou de loin. A la manière des opérateurs radio de la Résistance en France ou ailleurs en Europe, qui avaient des codes secrets à insérer dans les messages pour dire s’ ils étaient libres ou sous contrôle de la Gestapo ou de l’ Abwehr…

  19. lxy

    Boone question . Quand le disque virtuel Truecrypt est installé/monté j’imagine que les fichiers qu’il contient deviennent alors accessibles par NSA ou autre ?

    1. Quand le disque est monté, il est lisible. C’est lorsqu’il est à l’arrêt et qu’on doit y accéder sans les clefs que c’est illisible.

      1. lxy

        C’est bien ce que j’avais compris. Merci pour cet article…et tous les autres. L’affaire me semble claire. Des « amis de la liberté » ont dû s’apercevoir que des « ennemis de la liberté » utilisaient Truecrypt pour échanger entre eux des informations protégées. Intolérable.

  20. christophe

    Rappelons le service web de mail sécurisé Lavabit qui s’est sabordé il y a quelques temps.

    Il est impératif de lire la lettre du fondateur sur http://lavabit.com/
    pour comprendre que les officines du type NSA, et les gouvernements, sont devenus purement mafieux, scélérats. Et dangereux.

    Intimidations, pressions « légales », procès, secret… c’est stupéfiant.
    Ils sont capables de broyer les hommes qui entravent leurs saloperies.

    Voire de casser les genoux ? De la violence pseudo « légale » à la violence physique, il semble ne plus y avoir plus de limites.

    Quant à TrueCrypt, l’affaire semble signée. Leur « mode d’emploi » pour utiliser BitLocker sent le puissant pied de nez. C’est même à mourir de rire.

    Préconiser BitLocker est déjà rigolo. Mais ajouter un « pas à pas visuel », c’est clairement une clownerie.

    Et l’arrêt de la maintenance de Windows XP leur ont donné le parfait prétexte.

    Bref, il faudra désormais suivre les Suisses.

    Mais rappelons que de toute façon dès que votre ordi est relié à l’Internet vous êtes vulnérable.

    TrueCrypt est parfait pour avoir l’esprit tranquille face aux risques de vols.

    Ordinateur et clés USB… Perte ou vol ? Vous perdez de l’argent. Mais vos données ne seront jamais exploitables par les voleurs.

    1. yp

      Que des officines gouvernementales soient mafieuses ne fait aucun doute – c’est dans l’esprit même de leur création.

      Par contre, que la justice soit profondément vérolée par la mafia étatique, est le vrai scandale (et là, la « justice » française n’a rien à envier à sa consoeur américaine…)

  21. val

    Eh oui , la technique est un formidable progres qui nous libere , mais aussi un outil d’asservissement quand il est utilisé contre nous . Comme toujours , à chaque nouvelle creation : le côté lumineux et le côté obscur de la force , vade retro darth Vador.
    Il parait que l’on pose désormais les telephones loin de salles de réunion avant un meeting un peu strategique, danger reel, paranoia ? Il est vrai que l’on ne peut retirer les batteries des iphones/ipads , étudié pour ne pas pouvoir remplacer la batterie ?? pour les activer à distance en loucede ??
    Nous sommes vraiment ds le 1984 d Orwell .

  22. Kekoresin

    Hé oui, le terrorisme a gagné pour le plus grand bonheur de tyrans à la petite semaine.

    Tout atteinte à la liberté est justifiable aujourd’hui pour combattre la bête immonde et les débordements comportementaux de con-citoyens susceptibles de causer des blessures ruineuse de SS ou des morts graves.

    1. val

      @keko , je ne crois pas du tout que le terrorisme y soit pour qqchose , les pouvoirs ont une obsession pour le renseignement , pour eux : l’information est le nerf de la guerre .
      Le terrorisme , tout comme l’insécurité ,à mon sens, sont juste utilisés comme épouvantail pour faire passer la pilule auprès du pékin moyen et justifier les ecoutes massives.

      1. gameover

        Je pense que c’est ce que dit Keko en disant « justifiable »

        L’article de zerohedge sur Snowden et le 9/11 se vérifie encore today avec ce français fiché qui a été signalé par les belges et qu’on a retrouvé par hasard à Marseille. Ca a été la même chose avec l’attentat de Boston avec le signalement fait par la Russie.

        La masse des renseignements collectés est inexploitable et même si elle l’était il faudrait des capacités d’enquête classique pour faire le tri.

        Trop d’infos tue l’info.

        1. vegeta

          oui le terroriste était ficher comme merah le problème n’est pas l’information mais que les policiers ne sont plus des hommes de terrains, doublé de la politique qui refusent les méthodes policières et préfèrent que le terroristes tuent plutôt que de perquisitionner une mosquée ou arrêter un imam

        2. Kekoresin

          Ben oui c’est exactement ce que je dis. Dans une démocratie il est vital de justifier le flicage de la population. Le risque d’être catégorisé dans le totalitarisme engendrerait un potentiel soulèvement qui abolirait les avantages de castes dont jouissent nos politiques. Il faut donc jouer de subtilité et trouver les boucs émissaires tout juste crédibles et enrober de bonnes intentions la surveillance active des citoyens. Ça marche aussi dans les autres domaines où maman état se doit de protéger ses enfants forcément irresponsables d’eux-mêmes.

          Trop d’info tue l’info: totalement d’accord avec toi GO. Les services de renseignements américains sont très souvent à la rue car ils compte sur Echelon pour savoir d’où le pot de fleur va leur tomber sur la tronche. Le pire, c’est qu’en ayant mis de côté le terrain ils commettent des erreurs qui sont du pain béni pour les recruteurs terroristes (frappes aveugles de Predators par exemple).

          Pour la France, on mise encore pas mal sur l’artisanat mais il faut beaucoup de monde pour surveiller physiquement les individus et la justice française met des bâtons dans les roues des agences de renseignements. A contrario, les écoutes électroniques naviguent dans un joli flou juridique.

          1. Jeanpierre

            Donc, si je résume, pour la caste politique d’une démocratie corrompue, il faut laisser enfler ou créer un problème de façon à se présenter comme un sauveur du peuple. La ficelle est grosse mais la méthode a prouvé son efficacité. Maintenant, je me sens partagé à propos de l’utilisation de cette théorie, notamment appliquée aux américains. Il y a de nombreux exemples d’actes de guerres qui entraînent l’implication des USA dans un conflit armé :
            -WW1 : le lusitania
            -WW2 : Pearl Harbour
            -Guerre du golfe (je sais plus laquelle) : attentat à la bombe
            -Guerre d’Irak et contre le terrorisme en général : attentat du 11/09.
            Autour de tous ces drames déterminants circulent des rumeurs. A chaque fois, il y a des éléments troublants (exemple : l’ingénieur qui explique pourquoi la chute des deux tours montrent qu’elles ont été minées au préalable). Mais le caractère systématique de l’accusation de complot me fait douter. S’ils étaient au courant, ont-ils fait exprès de laisser le drame arriver (Pearl Harbour, WTC). Et si c’était l’incompétence. Mais c’est quand même une énorme nation, avec des agences de renseignement où la montée en grade ne se fait pas seulement à l’ancienneté (enfin, j’espère pour eux). Donc… « complot » ou pas? je suis partagé. Et vous, z’en pensez quoi?

            1. Cerf D

              Pearl Harbour: il me semble qu’au moment de l’attaque, on faisait poireauter l’ambassadeur du Japon dans l’antichambre de F.D. Roosvelt alors qu’il venait apporter la déclaration de guerre du Japon aux USA et qu’il n’a été reçu qu’après l’attaque.

            2. val

              @jean Pierre , non moi non plus je ne crois pas à ce que l on pourrait appeler une théorie du complot , si je résume ce qui a été dit par keko et go , c’est qu’ils « profitent » de problèmes réels : terrorisme, insécurité pour justifier un flicage massif de tous . Et qu’en plus ,ce flicage intensif est relativement inopérant car génère des tonnes d’infos inexploitables ou inexploitées et que du coup , on perd sur tous les tableaux : tout le monde est fliqué et ça ne sert pas à éviter les problèmes . Bon une fois qu’on a dit ça je n’ai pas non plus de solution miracle pour prévenir les attentats … et on ne sait pas combien ont été evités reellement grace au flicage …

              1. petit-chat

                Le but du jeu n’a jamais été de déjouer des attentats car ça les arrange bien : l’objectif est exclusivement de fliquer la population et de lui faire accepter ces contrôles permanents.
                Des faux attentats, il y en a à la pelle, la désinformation joue à plein, la populace a peur, l’État veille, surveille et prétend protéger.
                En Grance, Taubir et ValSS sont là pour le prouver : la sécurité, la lutte contre la délinquance sont vraiment les priorités, je me marre.

            3. Honorbrachios

              Une citation d’Alain Madelin concernant les hommes politiques (De mémoire ):
              « En ce qui concerne les hommes politiques, si vous avez à choisir entre une conspiration/ plan machiavélique et l’incompétence, choisissez toujours l’incompétence ».

              Et une de Terry Pratchett (A peu près également !) : « Pourquoi les hommes politique qui ratent et sont mauvais dans à peu près tous les domaines seraient bons dans les conspirations ?! »

  23. LeRus

    Mais qui est ce H16 pour connaître des trucs comme ça?

    Je suis impressionné mais aussi un peu effrayé: qui nous dit que ce blog n’est finalement pas qu’un piège à miel mis en place par le gouvernement français?

    Seuls les paranos survivent, n’est pas? Attendez, on frappe à ma port

    1. val

      Le Rus tu es comme moi tu as vécu trop longtemps de l’autre côté du « miroir » , bon moi aussi je me suis posée la question 😉 , H16 le concombre masqué agent provocateur ???? :-O

      1. Calvin

        Je vais vous révéler un secret.

        Ecrivez et comptez le nombre de lettre de « Hollande François », et gardez la première lettre…

        Bon, ok, j’explique : Hollande françois
        16 lettres, d’où H16 !
        Et oui, notre masqué à gaz, qui se fout ouvertement du Roi Solex, c’est lui-même !
        Et il a vos IP, vos emails, vos critiques, vos coups de gueules.
        (Et ça explique pourquoi il a un faible pour les femmes du gouvernement)

          1. petit-chat

            J’appelle l’HaDaubePire immédiatement (je reçois une petite comm’ à chaque fois) : la phrase sus-citée est protégée par des droits d’auteur !

    1. Filosof

      Tu me diras ce que tu en penses: c’est la première fois que je trouve une faute chez toi…

    2. gameover

      C’est un participe passé employé comme un adjectif, pas une conjugaison.

      De plus on dit : intéressement aux bénéfices et être intéressé aux bénéfices et non par les bénéfices.

  24. nino

    Ah, on est bien sous linux, quand même…
    Encfs, TOR, Torchat, Bitmessage… et j’en passe…

      1. nino

        C’est vrai, à part la simplicité d’installation et de mise en route des logiciels cités et le peu de failles du système, vous avez raison.

        1. La simplicité d’installation ? Truecrypt est très simple à installer (sur toutes les plateformes). Et quant aux peu de failles, remettez-vous à la page (on n’est plus dans les années 90) : tous les OS sont maintenant attaquables et attaqués. Linux ne fait pas exception, loin s’en faut.

          1. vegeta

            c’est faux les ordinateurs qui tournent sous windows 95, installer dans toutes les administrations d’état sont réputé inviolable c’est taubira qui le dit document à la main 🙂

              1. MadeInCH

                En fait, je pense que W95 est un OS « redevenu sûr ».

                En effet, la majorité des attaques se font par des services.

                Il n’y a pas de services sous W95.

                Et comme plus personne n’utilise W95, Il n’y a plus de hacker qui va se fatiguer à en exploiter les failles.

                Problèmes: Comment trouver un navigateur suffisamment récent pour tourner sous W95???

              2. Fll

                Erf, dans 95 pas de services ? wabon ? pis y’a pas tellement besoin de quoi que ce soit pour entrer dans un 95/98, un simple net use passe.
                Mais tu peux toujours l’utiliser avec VMware. c’est clair que ca fouette du chaton en rapidité avec nos cpu moderne 🙂 temps d’installation from scatch, 3 minutes 😀

              1. David

                rigolez pas, j’ai de vieilles applis des années 90 en maintenance -> bien content d’avoir pu dégoter un cd Win95 pour créer une VM Win95 avec VMWare, sinon j’étais foutu

  25. kevin

    Je rajoute qu’aujourd’hui, crypter ses données et faire en sorte d’être complètement anonyme sur le net, c’est irrémédiablement attirer l’attention toute particulière et suspecte des services compétent.

    1. MadeInCH

      Je suis d’accord.

      Tout crypter, non.

      Mais crypter une clef USB, pas de problème, ça n’attire pas l’attention.

      1. simple-touriste

        Si vous ne chiffrez qu’un volume, faites attention aux fichiers temporaires laissés par vos programmes dans d’autres volumes.

        Tout chiffrer évite ce souci et aussi l’altération des logiciels par un attaquant.

        Reste le souci de la modification du BIOS, des programmes de démarrage…

    2. vegeta

      kevin tu ferme bien la porte de chez toi ? alors pourquoi ne pas faire la même chose sur le net ou tous le monde peut savoir qui tu es, ce que tu fait et te piquer tes informations ?

      1. Fll

        Bin le plus simple étant d’avoir un firewall dans les deux sens. C’est bien de bloquer l’entrée, mais la sortie ?
        Tu colles un FW en sortie, et tu autorise que ce que tu utilises. 80/110/443/8080/25/3389/20/21 et en gros, that’s all. Apres tu affines si des besoins supplémentaire, genre WU, ou les dépots, en fonction de l’os.

        1. simple-touriste

          Comme ça tu as la garantie que les maliciels utilisent des ports « standard » pour communiquer.
          Super!

    3. Calvin

      Le mieux, c’est l’inverse :
      Il faut que tout le monde inonde ses mails, ses écrits, ses fichiers de most clés de référence qui vont saturer leurs serveurs.

      Tiens, il faudrait demander à pouf pouf de nous écrire chaque jour un truc du genre :
      ce matin virgule tandis que je me demandais si le dernier né des iphone, « nom de code : kill POTUS » allait être enfin dévoilé comme un niqab mité, la jeune femme d’Al Qaida que j’avais croisée l’avant veille dans un meeting du Klu Klux Klan, vint vers moi. je lui montrais à nouveau mes guns, mes bombs, mes liberty dollar, et tentais de lui insérer mes bitcoin. elle rigola sans plus, comme si elle n’avait pas sa tête capitale ? et à propos de la capitale, Washington virgule que deviennent ses politiciens véreux ? allons attaquer le Capitole, pas celui de Toulouse, les saucisses y en a aussi aux States.

      1. MadeInCH

        Note: Dans le language des terroristes, « organiser un marriage » signifie préparer un attentat.

        La jeune femme d’Al Qaida va organiser son marriage au Capitole pour quant, déjà???

  26. Karamba!

    Si Truecrypt est interdit, logiquement c’est signe qu’il est très efficace. Aspirer à préserver une vie privée aujourd’hui c’est déjà une façon de passer pour un terroriste potentiel. Enfin heureusement, notre Etat orwellien socialiste n’étant déjà pas foutu de suivre à la trace un djihadiste demeuré, on peut donc présumer qu’utiliser le logiciel pourri de cryptage Microsoft devrait suffire amplement à maintenir à distance nos services de renseignements à la ramasse…

    1. Cerf D

      « Enfin heureusement, notre Etat orwellien socialiste n’étant déjà pas foutu de suivre à la trace un djihadiste demeuré »
      Pas foutu de le suivre à la trace mais quel coup de chance, on le retrouve presque les armes à la main.

      Ta Gueule C’est Magique !

      1. gameover

        Faut dire que son bus faisait Amsterdam-Bruxelles-Marseille…
        Et pour passer inaperçu il était en costard-cravate
        Je pense qu’il l’a fait exprès ou alors c’est son Truecrypt…

  27. Black Mamba

    Les parlementaires se retrouvent pour les traditionnelles questions d’actualité au gouvernement, mercredi 4 juin, dans l’hémicycle de l’Assemblée nationale. A l’issue de celles-ci, les députés poursuivent les discussions autour du projet de loi sur la réforme pénale.

    Mardi, dans l’hémicycle, Manuel Valls n’a pas mâché ses mots. Il a qualifié de « mensonge » l’accusation de la droite selon laquelle l’objectif de la réforme pénale serait de vider les prisons, et a reproché à l’opposition de faire monter le Front national avec cet argument.

    « Je vais vous dire franchement ce que je pense de votre question : notre pays crève littéralement de ce genre de polémiques et de positions », a lancé Manuel Valls à la députée UMP de Haute-Savoie Virginie Duby-Muller, qui lui reprochait de « désarmer la justice face aux délinquants ». « Dire que nous souhaitons vider les prisons, dire que c’est MadameTaubira qui souhaite vider les prisons, n’a aucun sens. C’est un mensonge et cela ne fait pas avancer le débat », a-t-il asséné.

  28. Le Gnôme

    Comme je suis un utilisateur basique qui ne comprend à peu près rien à la question, et comme je dois être déjà fiché pour me connecter à ce site, que je ne vois pas l’intérêt de crypter les pauvres informations qui sont dans mon zordinateur, que je suis infoutu d’installer un programme pour peu qu’il soit un peu jargonnant, et en langue anglopithèque de surcroît, je vais rester comme je suis. Je ne suis pas né avec un clavier entre les mains et tout ceci me passe largement au dessus de la tête.

    1. Calvin

      Ils feraient mieux de compter la corruption politique.
      La France aurait le taux de croissance le plus élevé des pays de l’OCDE.

  29. Lafayette

    Forcément depuis que la NSA soutraite en Chine il faut que ca reste des cryptage à petits bits.

    Notez quand même que le programme est toujours disponible, en bas de page (ces screenshoot de BeefPloucker donnent trop mal aux yeux, c’est quoi cette version de CM2 avec tous ces rectangles colorés).

    1. Lafayette

      oups, la dernière version est bridée. Pour les amateurs il y a encore un site qui met à disposition cet outil (truecrypt.ch).

      En clair on peut dire que la théorie des 2 clés (publique et privée) est remise largement en question par le passe partout des autorités de certifications aux mains des services de backup étatique.

      J’ai d’ailleurs toujours un faible pour la sécurité de windows et autre qui ne prennent que quelques minutes à ouvrir un système verrouillé. Autant dire que c’est une perte de temps de crypter, ça ne sert à rien si on laisse de base les clés à n’importe qui. Windows est un Open Door.

  30. Esse

    Euh là franchement ça à pas l’air d’être la NSA, mais juste des développeurs qui laissent tomber un projet qui a simplement peu de traction.
    BitLocker est intégré à Windows, donc très largement avantagé. L’utilisateur qui n’a pas confiance en BitLocker, n’a pas confiance en Microsoft, donc à ce point là il change simplement d’OS.
    Le message qu’ils passent est très clair « WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues ».
    Ils se dédouanent de toutes conséquences de l’utilisation future de leur soft. Des exploits seront peut être trouvés, ce ne sera pas leur problème. Point.

    Cf un des liens de H16 rapportant les propos suivants :
    “Also said no government contact except one time inquiring about a ‘support contract.’ ”
    “Bitlocker is ‘good enough’ and Windows was original ‘goal of the project.’ ”

Les commentaires sont fermés.