Tiens, je pensais l'avoir déjà partagé ici.

Bref, en bon français, on dit chiffrer et pas crypter !

Un article très intéressant sur VeraCrypt et son développeur :)

Un logiciel de "cryptage" (sic), payant, à sources fermées, "réellement inviolable" (de leurs mots), inutile de dire que ça attire ma méfiance la plus totale ! Je ne devrais même pas en parler d'ailleurs (ça leur fait de la pub), mais il faut que ça sorte >_<

Le pire, c'est que sur la page d'accueil, ils précisent bien que la sécurité est vérifiable. Vraiment ? Je rappelle que les sources sont fermées, inaccessibles, alors bon, je ne sais pas ce qui est vraiment vérifiable au final.

Honnêtement, j'ai beaucoup de peine à prendre au sérieux un logiciel qui se prétend "réellement inviolable", sachant qu'aucun expert en sécurité digne de ce nom n'oserait affirmer une chose pareille - la sécurité à 100% n'existant pas.

Ah pardon, ils disent utiliser le principe du masque jetable (one-time pad), seule méthode de chiffrement reconnue comme étant *réellement* invulnérable, mais À CONDITION que l'implémentation soit parfaite, d'un bout à l'autre (masque véritablement aléatoire, utilisé qu'une seule fois, etc.) ! Chose impossible à vérifier en l'état. Et comme ledit masque est généré à partir d'une clé, de taille forcément plus réduite que les données à chiffrer, autant dire que s'il y a une faille dans l'algo, toute la sécurité est compromise - masque jetable ou pas.

La cerise sur le gâteau, c'est quand même les citations sur le site, totalement sorties de leur contexte de manière à faire croire qu'elles se réfèrent directement au logiciel, ce qui n'est pas le cas.

Comment je le sais ? En-dehors du fait qu'elles parlent du principe de chiffrement en lui-même (one-time pad, masque jetable) plutôt que du logiciel (manœuvre subtile), j'en ai la preuve ici : https://groups.google.com/forum/#!msg/fr.misc.cryptologie/fo4RXoxn3bU/OrBQBJcxZLYJ

Il s'agit de François Weissbaum, l'auteur de la première citation, qui refuse que son mon nom soit associé à ce produit et qui voulait que la citation soit retirée. Il n'a pas obtenu gain de cause en contactant les auteurs, sous prétexte qu'ils respectent les dispositions légales (ce qui n'est pas le cas : en Suisse, l'auteur et la source - qui manque - doivent être présents et l'emploi de la citation doit être justifié - à mon avis, ici c'est quelque peu abusif). Ça sent la tentative de tromper le consommateur, mais on me dira que je suis mauvaise langue... Chacun pense ce qu'il veut.

Dans le fil NG que j'ai posté plus haut, l'auteur de Swisscrypt prend part à la discussion et... il s'en suit un démontage en règle du logiciel par les autres participants. C'est vieux (2006), mais ça vaut la peine de lire si vous avez le temps.

Bref, en ce qui me concerne : mauvaise note dans WOT et boycotte permanent de ce "produit" (je ne sais pas s'il est encore vendu, mais le site existe toujours).

Ben voyons... On va revenir en arrière à l'époque où la taille des clés était limitée ? C'est n'importe quoi. Quand on dit que l'histoire est un éternel recommencement...

J'espère qu'en Suisse on est un tantinet plus intelligent sur la question. Bon déjà, à ma connaissance, il n'y a jamais eu de restrictions en matière de chiffrement, bien au contraire, l'État le pousse en avant et l'encourage. Après, c'est comme le secret bancaire, rien n'est immuable...

Voilà une analyse pertinente de la situation ! Non, les VPN ne sont pas morts, contrairement à ce qu'annonçaient certains médias et blogueurs !

Cet article prouve encore une fois qu'il ne faut pas faire aveuglément confiance aux systèmes à sources fermées, car elles peuvent comporter des backdoors, alors qu'il est beaucoup plus facile d'en cacher dans un produit open-source ! Et les produits noyautés semblent être légion.

TL;DR : Un billet très intéressant d'Eric Lippert (développeur principal de l'équipe en charge du compilateur C#) concernant la cryptographie et le secret des clés. Car ce qui importe dans un algo de chiffrement pour qu'il soit sécurisé, c'est de gérer correctement les clés et les garder secrètes. Tout le reste doit être connu et ouvert, comme on le dit sans cesse !

Il va falloir que je teste ça à l'occasion. D'ailleurs, il y a une liste quelque part des alternatives à TC ? Parce qu'il commence à y en avoir beaucoup (ce qui est bien).

Un team (suisse) a mis en place un site pour se fédérer autour de Truecrypt et proposer de continuer le projet au cas où il serait mort...

Prudence toutefois : rien ne dit pour l'instant que ceux derrière le site sont fiables !

Dans leurs arguments, le seul point qui me fait tiquer, c'est la mention comme quoi les membres de la team ne seront pas anonymes : c'est honorable, mais dangereux. Le point fort de Truecrypt, c'était justement l'anonymat du développeur qui ne pouvait ainsi pas subir de pressions (jusqu'à maintenant ?).

Si les membres sont connus, rien ne dit qu'ils ne vont pas être manipulés et "contraints" de fragiliser l'implémentation de TC ou y intégrer une backdoor.

À suivre...

Au passage, cette histoire avec TC pue à des kilomètres. Plusieurs théories s'affrontent mais une chose demeure : personne ne croit à la version "officielle". En attendant, je conseille de garder la dernière version fiable (7.1a) qui est encore sûre jusqu'à preuves du contraire !

Bon à savoir : il est possible de créer une entrée spéciale dans un DNS pour indiquer où se trouve votre clé publique PGP/GPG !

Cela permet ensuite au programme de vos contacts de retrouver automatiquement votre clé sans qu'elle soit présente sur un serveur de clé !

Je ne sais pas si la découverte automatique des clés se fait dans tous les programmes par contre...

Bof, aucun intérêt (vu le prix : 50 €  le lot de 10 DVD)...

Comme ils disent, autant prendre un container TrueCrypt et le graver, au moins on est sûrs du résultat et ça ne coûte pas plus cher (en plus d'être multiplateforme) !