Peux-t'on encore faire confiance à TrueCrypt...
Depuis la fin du projet Truecrypt en juin 2014, beaucoup de RSSI et de consultants sécurités se demande s’ils peuvent encore faire confiance à ce logiciel. La version 7.2 est fortement déconseillée suite à la découverte de Malware et la présence d’une clé ancienne de l’équipe de développement. Un projet d’audit de code de TrueCrypt à vue le jour et nous venons de recevoir la version 1.1 de celui-ci qui à été effectué en partenariat avec l’ISEC filiale du NCCGroup. Ce rapport existe depuis quelques mois déjà mais j’ai préféré prendre un peu de recul par rapport à l’effet médiatique sur l’arrêt du projet Open Source Truecrypt. Je n’aborderai pas les forks de TrueCrypt qui sont aujourd’hui en cours. Je ne dispose pas d’assez de retours d’expériences pour me positionner sur la fiabilité de ceux-ci.
Ce que l’on peut retenir de ce premier rapport est la présence de 11 vulnérabilités avec aucune au niveau critique. Le rapport d’audit démontre en page 6 que l’ensemble des risques sont entre le medium et le low level security. Il ne faut pas oublier que TrueCrypt n’avait jamais été audité avant l’arrêt brutal de celui-ci. Pour tout ceux qui font de l’audit de code y a rien d’anormal de trouver des vulnérabilités surtout sur un logiciel OpenSource qui n’a jamais subit de telles tests publiquement.
On apprend que l’audit ne s’est pas arrété à Truecrypt mais aussi au bootloader et au noyau de Windows. On n’oublie pas que l’on s’appuie sur un OS qui est régulièrement patché par son éditeur chaque mois :-). L’audit s’est déroulé dans les locaux de l’ISEC à Seattle (WA, US). Les deux auditeurs sont ingénieurs sécurités. La conclusion de l’audit phase 1 est que le code, la documentation sont d’une qualité plus que correct. Il apparait que des faiblesses potentielles (oui potentielles) existent au niveau de l’intégrité de l’en-tête (tous les détails en page 7 de l’audit phase 1). La conclusion est terrible à mon sens car il ne trouve pas de backdoors ou de codes malicieux lors de leurs investigations. Les vulnérabilités détectées sont plus des erreurs de programmations que des compromissions du code en tant que telle.
Les recommandations sont pour l’ISEC (et je me joins à eux car c’est d’une évidence), Mettre à jour son environnement Windows en particulier l’ensemble des librairies VC++. La présence de logiciels GNU out of date est aussi un risque fort. Bien entendu on appliquera les mécanismes de protections plus étendus comme DEP (Data Execution Prevention) et ASLR (Adress Space Layout Randomization).
Le code de TrueCrypt doit être amélioré due à la qualité laxiste (ils sont marrant ces auditeurs, depuis quand un programmeur OpenSource doit faire de l’industrialisation sur son temps libre). Le code actuel est difficilement maintenable à ce stade et toutes personnes (sociétés, Agences Gouvernementales….) aura un effort important pour arriver au niveau de l’ancienne équipe.
Pour mon cas, je vais continuer à utiliser TrueCrypt 7.1a sur mes plates formes Linux, Windows et MacOS. La phase 2 de l’audit vient de démarrer sur la partie chiffrement pure. J’attends avec impatience le résultat.
Source de l’article:
Le site des sources de cet article se situe ici: (https://opencryptoaudit.org/).
Le rapport d’audit : https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf
Je vous laisse découvrir les vulnérabilités sur les tableaux suivants:
Executive Summary
| Application auditée | |
|---|---|
| Nom de l'application | TrueCrypt |
| Version de l'application | 7.1a |
| Type d'application | Chiffrement du disque dur |
| Plateforme auditée | Windows, C/C++ |
| Moyen de l'audit | |
|---|---|
| Auditeurs | 2 (deux) |
| mission des Auditeurs | Évaluation du niveau de sécurité |
| Méthode de test | Évaluation du code source avec des outils d'assistances |
| Vulnérabilités détectées | |
|---|---|
| Vulnérabilité critique (High) | 0 |
| Vulnérabilité moyenne (Medium) | 4 (Quatre) |
| Vulnérabilité faible (Low) | 4 (Quatre) |
| Vulnérabilité très faible (informelle) | 3 (Trois) |
| Parties compromises | |
|---|---|
| Contrôle d'accès | 0 |
| Audit & connexion | 0 |
| Authentification | 0 |
| Configuration | 0 |
| Chiffrement | 1 |
| Exposition des données chiffrées | 4 (oui quatre...mais avant on le savait pas donc on se détend) |
| Validation des données | 3 |
| Deni de Service (DOS) | 2 |
| Rapport d'erreur | 1 |
| Patch Management | 0 |
| Session Management | 0 |
| Timing | 0 |
Enjoy TrueCrypt 🙂
1 comment for “SSI – Rapport d’Audit Truecrypt Phase 1”