TrueCrypt, c’est fini

Traduction d'un message de Bill Cole posté sur KrebsonSecurity concernant l'abandon du développement de TrueCrypt.

Adieu TrueCrypt

« L'audit de sécurité initial fait par iSec était très critique à l'égard de la qualité du code de TrueCrypt [1], déduisant que ce devait être l'œuvre d'un seul développeur. Il n'y eut pas de mise à jour pendant deux ans. Le processus de compilation requiert un compilateur Microsoft vieux de 20 ans [2], extrait manuellement d'un installateur exécutable.

Imaginez-vous comme le développeur principal et solitaire travaillant sur TrueCrypt. Personne ne vous paie pour ça, les gouvernements vous détestent, la plupart de la communauté cryptographique vous lance des pierres dessus, et pendant ce temps la communauté des utilisateurs passe la moitié de son temps à participer à une paranoïa sans fondement, pendant que l'autre moitié pleurniche sur des fonctionalités manquantes.

Vous devez manger, donc vous avez un vrai boulot, salarié. Vous n'êtes plus si jeune (commettant TrueCrypt depuis une décennie) et peut-être que votre vrai boulot amène des reponsabilités qui prennent le pas sur vos travaux en dilettante. Ou alors vous avez peut-être une famille que vous aimez plus que les geignards paranoïaques auxquels vous vous heurtez en développant TrueCrypt.

Et maintenant iSec vous annonce que votre code est illisible, et qu'il faudrait une somme ahurissante de travail pour le clarifier. Ils en déduisent qu'une session d'écriture de code arrosée au Scotch en 2005 (ou peut-être du code dont vous aviez hérité d'un développeur précédent) a donné lieu à une béance exploitable, que bientôt tout le monde qualifiera de porte dérobée installée par la NSA.

Alors peut-être que vous laissez tout tomber. Pourquoi pas ? Quiconque avec un système d'exploitation à jour dispose d'une alternative à TrueCrypt et, aussi imparfaite soit-elle, elle est meilleure que TrueCrypt pour la majorité des utilisateurs. [3] Maintenir TrueCrypt n'est pas vraiment bénéfique pour beaucoup de personnes, et l'audit en question n'a fait que remonter la partie la moins intéressante de la maintenance en priorité de premier ordre. On dirait que c'est le bon moment pour tout arrêter et devenir l'entraîneur de foot de vos enfants. »

  • [1] Voir IsTrueCryptAuditedYet? pour un compte rendu.
  • [2] Un second commentateur suggère que ledit compilateur ne tourne en fait que sous Windows XP, dont on sait l'abandon par Microsoft, ce qui représente une faille critique de sécurité même si Windows XP fonctionne toujours.
  • [3] BitLocker sous Microsoft (disponible sous Windows {Vista, 7} {Ultimate, Entreprise} ou Windows 8 {Professionel, Entreprise}), FileVault sous Mac OS X (à partir de 10.3, « Panther »), ou pour qui a un système d'exploitation par définition auditable pour sa sécurité (comprendre libre ou au moins opensource) : eCryptfs, EncFS, loop-AES, dm-crypt (avec ou sans LUKS), et j'en passe.
Vus : 582
Publié par PostBlue : 59