TrueCrypt: La fin?
Neuromancien
29 mai 2014
Salut!
Il se passe quelque chose d'anormal sur le site Truecrypt et personne n'est en mesure de dire si c'est authentique:
La page du projet TrueCrypt conseille de ne pas utiliser leur programme mais de le remplacer par Bitlocker, le programme de Microsoft.
http://linuxfr.org/u...ruecrypt-la-fin
http://lifehacker.co...etai-1582879439
http://arstechnica.c...abruptly-warns/
http://www.pcworld.c...-bitlocker.html
Je pense qu'il faut attendre....
Darksky
29 mai 2014
En effet, c'est super louche.
C'est prématuré pour le moment mais si le projet est réellement abandonné, croisons les doigts pour qu'il soit relancé par d'autre depuis le code source.
Il existe des alternatives compatibles avec les volumes TrueCrypt également mais je ne les ai jamais testées.
Neuromancien
29 mai 2014
L'hypothèse de Korben me semble crédible.
Un tribunal secret américain vient d'interdire TrueCrypt, ordonnant la mise en ligne d'une version backdoorée, tout en interdisant aux développeurs officiels de s'exprimer sur le sujet et de poursuivre leurs développements. Ils n'ont eu d'autre choix que de faire "n'importe quoi" pour avertir les gens.
J'ai séparé les sujets en rappelant l'article de Noisette.
vigen
29 mai 2014
"Un tribunal secret" Faut peut-être pas pousser hein 
La dernière version date de 2012, et le support de Win 8 n'était pas assuré.
Et si tout simplement, il n'ya plus personne qui ne veux s'occuper du développement? C'est assez plausible aussi non ?! 
Après, qu'un "petit malin" s'amuse avec le site, pourquoi pas...
Ce message a été modifié par vigen - 29 mai 2014 - 13:30 .
Txon
29 mai 2014
..
Ce que je considère être une attaque contre TrueCrypt ne m'étonne pas. Malgré des rodomontades et des tentatives d'interdiction, ce système de chiffrement fort n'a pas été vraiment percé par les ''autorités'' jusqu'à ce jour. Le ''volume caché'' continue d'emmerder copieusement les malfaisants.
Il faudrait savoir si cette agression est limitée au ''hack'' du site ou si c'est vraiment une mise à mort ordonnée par les services d'espionnage des citoyens qui n'en viennent pas à bout et se sont emparés des sources de TrueCrypt.
Internet est bavard. Nous le saurons bientôt.
Pour l'instant la version 7.1 de TrueCrypt est disponible sur des sites bienveillants comme Clubic ou Cnet ..
Attention ! Une version 7.2 pour Windows est disponible sur SourceForge .. Qui l'a mise en place ?
Dans le pire des cas, des solutions de remplacement sont possibles ..
.. Diskcryptor .. FreeOTFE.. Tomb etc.
@+
Severian
29 mai 2014
Drannoc
30 mai 2014
Libre, ouvert et gratuit, si je ne me trompe. Il vivra sauf si, bien évidemment, il n'était plus fiable.
Pas trop d'inquiétude à se faire.
Th-Crown
30 mai 2014
..
Ce que je considère être une attaque contre TrueCrypt ne m'étonne pas. Malgré des rodomontades et des tentatives d'interdiction, ce système de chiffrement fort n'a pas été vraiment percé par les ''autorités'' jusqu'à ce jour. Le ''volume caché'' continue d'emmerder copieusement les malfaisants.
Il faudrait savoir si cette agression est limitée au ''hack'' du site ou si c'est vraiment une mise à mort ordonnée par les services d'espionnage des citoyens qui n'en viennent pas à bout et se sont emparés des sources de TrueCrypt.
Internet est bavard. Nous le saurons bientôt.
Pour l'instant la version 7.1 de TrueCrypt est disponible sur des sites bienveillants comme Clubic ou Cnet ..
Attention ! Une version 7.2 pour Windows est disponible sur SourceForge .. Qui l'a mise en place ?
Dans le pire des cas, des solutions de remplacement sont possibles ..
.. AlternativeTo TrueCrypt.
.. Diskcryptor .. FreeOTFE.. Tomb etc.
@+
La verion 7.1 n'est plus dispo chez Clubic, par contre on nous explique comment migrer vers bitlocker.
Neuromancien
30 mai 2014
"Un tribunal secret" Faut peut-être pas pousser hein
Avant, il y a eu Ladar Levison qui a préféré saborder son entreprise, alors pourquoi pas?
vigen
30 mai 2014
"Un tribunal secret" Faut peut-être pas pousser hein
Avant, il y a eu Ladar Levison qui a préféré saborder son entreprise, alors pourquoi pas?
Parce que je pense qu'il faut attendre un peu pour en savoir plus, car tu sais comme moi, que dans ce genre de situation, c'est propice au fantasmes.
De plus, là, il ne s'agit pas d'entreprise, avec tout ce que cela comporte comme "contrainte", mais un log libre, sans grosse structure derrière.
Alors tribunal secret ou petits Hommes verts, attendons un peu pour savoir
De plus, comme jel e disais, le développement, avait l'air "au point mort"...Deux ans sans nouvelles versions etc etc, je pense que c'est plus un "petit malin" qui a profiter d'une opportunité d'un logiciel avec une certaine notoriété.
Ce message a été modifié par vigen - 30 mai 2014 - 19:33 .
Darksky
30 mai 2014
Au passage, j'ai bien la version 7.1a pour Windows "en stock", mais je ne l'ai plus pour Debian...
Si par miracle l'un de vous a le programme pour Debian... qu'il se fasse connaître, je suis preneur (au cas où malheureusement ce serait définitif, le temps de trouver une alternative. Question de sécurité en cas de plantage, disons ^^).
Neuromancien
30 mai 2014
Alors tribunal secret ou petits Hommes verts, attendons un peu pour savoir
De plus, comme jel e disais, le développement, avait l'air "au point mort"...Deux ans sans nouvelles versions etc etc, je pense que c'est plus un "petit malin" qui a profiter d'une opportunité d'un logiciel avec une certaine notoriété.
Oui, vu comme ça...
Il y en a un qui a à peu près le même raisonnement que toi ici, dans les commentaires (celui du dénommé Bill Cole):
Bill ColeThe iSec initial audit report was very critical of the TC code quality, and implied that it looks like the work of a single coder. There was no update for 2 years. The build process requires a 20 year old MS compiler, manually extracted from an exe installer.
Imagine yourself as the lead/solo developer working on TC. No one pays you for this, governments hate you, much of the crypto community is throwing rocks at you while your user community spends half of its time joining in with clueless paranoia and the other half whining about feature gaps (e.g. GPT boot disks.) You have to eat, so you have a real paying job. You’re not so young any more (doing the TC crap for a decade) and maybe the real job now includes responsibilities that crowd out side work. Or maybe you’ve got a family you love more than the whiny paranoids you encounter via TC. And now iSec is telling you your code is sloppy and unreadable, and that you should take on a buttload of mind-numbing work to pretty it up so they will have an easier time figuring out where some scotch-fueled coding session in 2005 ( or maybe something you inherited from a past developer) resulted in a gaping exploitable hole that everyone will end up calling a NSA backdoor.
Maybe you just toss it in. Why not? Anyone with a maintained OS has an integrated alternative and as imperfect as they may be, they are better than TC for most users. Maintaining TC isn’t really doing much good for many people and the audit just pushed a giant steaming pile of the least interesting sort of maintenance into top priority. Seems like a fine time to drop it and be your kids’ soccer coach.
Neuromancien
02 juin 2014
Salut!
Péché sur le forum de FS.
http://www.infosecur...to-switzerland/
Ce qu'en pense le célèbre Steve Gibson: https://www.grc.com/...t/truecrypt.htm
TrueCrypt ne doit pas mourir: http://truecrypt.ch/
vigen
02 juin 2014
Salut!
Péché sur le forum de FS.
http://www.infosecur...to-switzerland/
Ce qu'en pense le célèbre Steve Gibson: https://www.grc.com/...t/truecrypt.htm
TrueCrypt ne doit pas mourir: http://truecrypt.ch/
Pas de tribunal secret alors, en fin de compte?
Neuromancien
03 juin 2014
Salut!
Peut-être pas, mais comme il s'agit d'une nouvelle équipe de développement, en réalité on ne sait toujours pas ce qui c'est passé réellement.
“Currently it is very unclear what really happened. Was it really just the end of a 10-year effort, or was it driven by some government. While a simple defacement is more and more unlikely we still don't know where this is going,” wrote Bruderer and Doekbrijder
Others argued that the shutdown may have been forced by the US authorities, as they did with secure email service Lavabit.
Certes, l'expression de Korben "tribunal secret" est un peu complotiste et maladroite mais elle exprimait l'idée de pressions du gouvernement devenues insupportables, comme c'était déjà arrivé à Lavabit. J'espère que tu ne considère pas "l'affaire" Lavabit comme une théorie du complot?
Txon
03 juin 2014
..
TrueCrypt : l'ANSSI invite à choisir des solutions alternatives (Julien L. .. Numerama .. 03 juin 2014)
Bien que l'ANSSI a délivré à TrueCrypt 6.0a et 7.1a une certification de sécurité de premier niveau, le service gouvernemental en charge de la sécurité informatique conseille de regarder du côté des solutions alternatives qui ont été qualifiées ou sont "en cours de qualification". Cinq propositions ont été retenues, chacune "offrant des fonctions semblables" à TrueCrypt, selon l'agence :
.. Cryhod ;
.. Zed ! ;
.. ZoneCentral ;
.. Security Box ;
.. StormShield.
Rappelons que si le statut de TrueCrypt est incertain, l'audit de sécurité se poursuit. Après l'analyse du code source, qui n'a rien révélé d'anormal, la prochaine phase consiste à effectuer cryptanalyse formelle pour valider la robustesse de la solution pour chiffrer des données.
@+
vigen
03 juin 2014
Salut Neuro
"J'espère que tu ne considère pas "l'affaire" Lavabit comme une théorie du complot?"
J'espère, moi, que tu as compris que je te charrié un peu
Je suis tout a fait d'accord avec toi sur le fait, que ce soit un terme "mal choisi", et c'est là ou je voulais en venir.
Après que les équipes de TrueCrypt ont eu affaire a des pressions, là éventuellement je suis pas contre cette idée.
D'ailleurs, il va être retiré de Tails:
http://www.numerama....dentialite.html
Ce message a été modifié par vigen - 03 juin 2014 - 11:53 .
Txon
03 juin 2014
Les responsables de Tails, un projet de système d'exploitation dédié à la confidentialité, se préparent à le remplacer par une autre solution. Trois programmes sont pour l'instant retenus : Tc-play, Cryptsetup et Zulucrypt.
Avec les logiciels préconisés par l'ANSSI et d'autres, ça fait beaucoup de monde pour monter sur le trône.
@+
Neuromancien
05 juin 2014
Pas de tribunal secret alors, en fin de compte?
À propos....
Connaissez-vous les "gag-order"?
Aux USA, un "gag order" est une procédure pour forcer un fournisseur de services à donner des informations sur ses utilisateurs, avec une clause de non-divulgation. Les fournisseurs de services n'ont pas le droit de révéler qu'ils en ont reçu un, sous peine de poursuite criminelles.
http://sebsauvage.net/links/?FPLn7w
Ce n'est pas un "tribunal secret" effectivement, mais peut-être un gag-order.
vigen
06 juin 2014
Pas de tribunal secret alors, en fin de compte?
À propos....
Connaissez-vous les "gag-order"?
Aux USA, un "gag order" est une procédure pour forcer un fournisseur de services à donner des informations sur ses utilisateurs, avec une clause de non-divulgation. Les fournisseurs de services n'ont pas le droit de révéler qu'ils en ont reçu un, sous peine de poursuite criminelles.
http://sebsauvage.net/links/?FPLn7w
Ce n'est pas un "tribunal secret" effectivement, mais peut-être un gag-order.
http://www.lemonde.f...34_4408996.html
Oui, mais est ce que les dev/projet de TrueCrypt dépendent du droit US?
Si c'est non, ils n'ont aucune obligation...
noisette
07 juin 2014
Ils ont tenté le "ou pas", ne leur voulons pas.
vigen
07 juin 2014
Ils ont eu le choix, faut pas croire. La balle: en titane, ou pas ?
Ils ont tenté le "ou pas", ne leur voulons pas.
Avant d'en arriver a ce "Karachi Style 
", il y'a plus simple...Couper les "vivres" financières...
Ce message a été modifié par vigen - 07 juin 2014 - 16:18 .
vigen
09 juin 2014
Neuromancien
10 juin 2014
Salut!
Quand j'ai vu l'interface, je me suis dit que ça ressemblait diablement à TC et puis j'ai vu ça:
and that is based on TrueCrypt,
vigen
10 juin 2014
Bonsoir,
Il y'a cela aussi "VeraCrypt storage format is INCOMPATIBLE with TrueCrypt storage format."
Qui indique, quand même, que ce n'est pas tout a fait la même chose..
"It adds enhanced security to the algorithms used for system and partitions encryption making it immune to new developments in brute-force attacks."
Après tout, une évolution, pourquoi pas?
De plus c'est "Fr" :
"http://www.idrix.fr/...id,1/Itemid,30/"
Pourquoi le bouder? 
