Analyse du retour d'audit de l'audit de code de TrueCrypt Partie 2
Le NCC Group vient de publier la seconde revue de code sur le logiciel TrueCrypt. La première lecture vous laisse sur votre faim. Beaucoup de bruits pour pas grand chose, on apprend que l’on est exposé à 4 failles sur les modules de chiffrements dont 2 en Hight Severity issues. Ils n’ont rien trouvé sur la backdoor de la NSA…Bon ils n’étaient que 3 ingénieurs pour faire la revue de code.
Le tableau suivant donne le détail des vulnérabilités ainsi que la difficulté à exploiter celle-ci.La revue de code semble correct mais on constate un écart de qualité d’écriture entre la première revue et celle-ci.
On rejoint l’analyse des différentes tentatives de revues de code indépendantes ou le code de TrueCrypt est suffisamment complexe pour que l’on ne puisse s’y retrouver sans un travail minimal d’une équipe dédié sur un temps asser long (Bien entendu, une agence gouvernementale peut mettre une équipe dédié 1 an sur le sujet à temps plein).
La source du document: Ici
Mon précédent article sur la revue de code Partie 1
| Description de la vulnérabilité | Type | Niveau difficulté |
|---|---|---|
| CryptAcquireContext may silently fail in unusual scenarios | Chiffrement | Forte |
| AES implementation susceptible to cache-timing attacks | Chiffrement | Forte |
| Keyfile mixing is not cryptographically sound | Chiffrement | Basse |
| Unauthenticated cipher text in volume headers | Chiffrement | Non déterminée |
