Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/05/2014, à 00:39

abelthorne

TrueCrypt compromis ?

Il y a quelques heures, le site de TrueCrypt (logiciel opensource de chiffrage multi-plate-formes) a été remplacé par une page disant que le logiciel n'est pas fiable, qu'il ne devrait plus être utilisé et propose comme alternative une solution Microsoft (!). Une nouvelle version 7.2 assez mystérieuse est apparue : elle ne permet pas de chiffrer, seulement de déchiffrer, elle est signée avec la clé officielle des développeurs et toutes les autres versions ont apparemment été supprimées des archives.

La situation n'est pas claire (les hypothèses vont bon train : piratage du site ? cassage du chiffrement par la NSA forçant les développeurs à tout arrêter en catastrophe ?...) et en attendant d'avoir des infos plus précises, il est déconseillé d'utiliser cette version 7.2 sortie de nulle part.

Il y a un article chez Korben qui résume tout ça et qui sera mis à jour au fur et à mesure des informations.

Dernière modification par abelthorne (Le 29/05/2014, à 00:44)

Hors ligne

#2 Le 29/05/2014, à 06:57

sounderk

Re : TrueCrypt compromis ?

J'ais trouver cette article sur Wikipédia trés interessant
http://fr.wikipedia.org/wiki/Surveillance_globale  avec le sceau des Illuminatis c'est trés angoissant tous ça  sad
http://fr.wikipedia.org/wiki/Th%C3%A9or … Illuminati
Mais j'ai également cette article .....   http://bigbrowser.blog.lemonde.fr/2013/ … s-donnees/
Punaise les maçons vont pas tomber au chomage chez eux  lol

Dernière modification par sounderk (Le 29/05/2014, à 06:57)

Hors ligne

#3 Le 29/05/2014, à 07:56

seb24

Re : TrueCrypt compromis ?

Ca ressemble a un piratage de leur site.


Mini PC NUC avec Ubuntu: ebay

Hors ligne

#4 Le 29/05/2014, à 08:20

tooguy66

Re : TrueCrypt compromis ?

J'ai quand même du mal à comprendre comment on peut passer d'un sujet truecrypt compromis aux sceau des illuminatis (au moins grâce au lien wikipédia on sait que c'est du folklore)
Pour le piratage,il semblerait dans l'article que korben a vérifier et n'a rien constater d'anormal. Dans les commentaires quelqu'un a testé la nouvelle version de truecrypt qui apparemment ne fait que monter les lecteurs mais n'encrypte plus. En revanche, truecrypt à peut-être était sacrifié sur l'autel de la sécurité nationale
http://korben.info/truecrypt-a-lepreuve-du-fbi.html


Dualboot Windows seven & ubuntu 14.04 64bit
gigabyte M720-US3 athlon II x4 620 6gb ram GeForce 520 1gio

Hors ligne

#5 Le 29/05/2014, à 10:03

Bob49

Re : TrueCrypt compromis ?

Salut

tooguy66 a écrit :

En revanche, truecrypt à peut-être était sacrifié sur l'autel de la sécurité nationale
http://korben.info/truecrypt-a-lepreuve-du-fbi.html

ça bouge de plus en plus vite dans ce monde et sur le web, merci de mettre des infos récentes, car l'article de ton lien remonte à 2010, près de 4 ans !... big_smile Même si cet article amène quelques bricoles à la discussion...

Dernière modification par Bob49 (Le 29/05/2014, à 10:06)


L'Anjou vs l'Occitanie en France ;-)
.
La patience est une vertu qui consiste à bien supporter des inconvénients sans pour cela se détourner d'une fin poursuivie.
%NOINDEX%

Hors ligne

#6 Le 29/05/2014, à 15:34

moissan

Re : TrueCrypt compromis ?

et que devient tcplay , qui est toujours disponible dans la logitheque ubuntu ?

la faille n'est peu etre pas dans le principe de base de Truecrypt mais dans la diffusion de logiciel pourri prenant la place du vrai  Truecrypt

c'est comme un coffre fort : si je fabrique un coffre mois même , en fabriquant la serrure aussi , il n'y aura pas moyen de l'ouvrir sans le code , sauf dynamite ou autre grand moyen ... si j'achete un modele du commerce on ne sais jamais si le constructeur n'a pas prevu une procedure de secours pemettant d'ouvrir avec un autre code que celui defini par l'utilisateur

y a il eu des mise a jour de Truecrypt ?

pour moi un logiciel de criptage ne devrait jamais etre mis a jour : il doit etre bon et ne jamais chan ger : sinon une mise a jour automatique peut etre un sabotage

Hors ligne

#7 Le 29/05/2014, à 17:02

agensbur

Re : TrueCrypt compromis ?

Truecrypt n'était pas a proprement parlé un logiciel sous licence libre.
- Son développement semble donc arrếté suite abandon windows xp. les versions actuelles demeurent accessibke pour les besoins de transferts vers des solutions altérnative. Coté windows, ils renvoient vers la soiution 'maison' et coté iOS et Linux vers d'autres solutions.
- La question : quelles solutions ? (- si possible sur interface graphique) pour créer un dossier crypté - je dis bien un dossier - pas une partition complète - sous linux
- Je pense qu'il ne faut pas réver, des solutions multiOS (dossies cryptés sous Linux, décrytable sous iOS ou Windows, il y avait truecrypt et apparemment il n'y aura plus.)
---
Ne suis pas intéressé par solutions de cryptage agissant sur une partition entière.

Dernière modification par agensbur (Le 30/05/2014, à 19:28)

Hors ligne

#8 Le 29/05/2014, à 17:21

cinaptix

Re : TrueCrypt compromis ?

- La question : quelles solutions ? (- si possible sur interface graphique) pour créer un dossier crypté - je dis bien un dossier - par une partition complète - sous linux

encfs et son interface Cryptkeeper > http://doc.ubuntu-fr.org/encfs?s[]=cryptkeeper


↔ Libriste radicalisé depuis mai 2007 ↔
① - Xubuntu 20.04 - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch) — ③ - Tablette Lenovo 10' (Android 10) — ④ - Smartphone Honor 9A (dégooglisé)

Hors ligne

#9 Le 29/05/2014, à 17:38

melixgaro

Re : TrueCrypt compromis ?

Pour ceux qui veulent utiliser encfs, surtout surtout sauver le fichier caché .encfs6.xml qui se trouve dans votre dossier chiffré. Sans celui-ci, impossible de déchiffrer les données.


Linux depuis ~2007. Xubuntu seulement.

Hors ligne

#10 Le 29/05/2014, à 17:48

agensbur

Re : TrueCrypt compromis ?

- Je pense qu'il ne faut pas réver, des solutions multiOS etc..

Merci d'avoir pointé les quelques solutions.
J'ai peu de données à confidentialiser et la gestion multiOS étant priviliégiée pour moi je vais m'orienter vers 7zip, et travailler sur un dossier comprimé-chiffré déchiffrable sur n'importe quel environnement.
Truecrypt était largement recommandé, je suis curieux de connaître les diverses soutions que vont adoptés les uns et les autres selon leurs besoins.

Dernière modification par agensbur (Le 29/05/2014, à 18:10)

Hors ligne

#11 Le 29/05/2014, à 18:46

cep

Re : TrueCrypt compromis ?

seb24 a écrit :

Ca ressemble a un piratage de leur site.

Je ne crois pas, non.
Je donne queslques détails :
http://blog-libre.org/post/2014/05/29/l … -truecrypt

Le Readme.txt des sources 7.2
« WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms. You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform. »

Hors ligne

#12 Le 29/05/2014, à 20:42

agensbur

Re : TrueCrypt compromis ?

Il y a toujours eu une discrète polémique autour de ce produit, produit librement diffusé mais sans être un produit "lbre" à proprement parlé.

Le propriétaire et la fondation qui assurait la diffusion du soft semblent arrêter 'officiellement'.

Si c'est confirmé, Truecrypt couvrant simplement des besoins assez divers, la question va être : comment pourvoir à son remplacement, quels softs préconiser selon les cas?

Pour moi et sous réserve d'inventaire  : crypter un dossier - assurer le portage muli-OS - la notion de partition n'étant pas essentielle -> 7zip doit suffire.

Hors ligne

#13 Le 29/05/2014, à 21:17

moissan

Re : TrueCrypt compromis ?

TrueCrypt fait un dossier crypté dans son ordinateur , pas destiné a être transporté ... donc le coté multi système ne sert pas a grand chose

pour le transport d'un système a l'autre 7zip fait l'affaire

pour le dossier crypté dans un ordinateur linux , que devient tcplay ? je pense qu'il est vraiment libre et sera toujours disponible et n'a jamais eu de problème

Hors ligne

#14 Le 29/05/2014, à 21:38

agensbur

Re : TrueCrypt compromis ?

TrueCrypt fait un dossier .... pas destiné a être transporté ...

Ha bon, mais quel décret interdit qu'un tel dossier ne soit pas susceptible d'être échangé/partagé/et parfois transporté..., non le coté mutli-système était utile et était une qualité.

Sinon tcplay est bien présent dans le dépôt (ligne de commande only - pas regardé la date du dernier release).
M'est avis que cela ne va pas être si simple de remplacer ce soft

Dernière modification par agensbur (Le 29/05/2014, à 21:59)

Hors ligne

#15 Le 29/05/2014, à 22:20

Haleth

Re : TrueCrypt compromis ?

Attendez .. 7zip ?
C'est ça, votre solution de cryptage ?
7zip ?

Nah franchement, des trucs pour crypter, y'a quand même un peu mieux.
openssl par exemple, ou pgp


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#16 Le 30/05/2014, à 08:54

tkof

Re : TrueCrypt compromis ?

Bonjour à tous,

Je suis utilisateur de TrueCrypt depuis des années, et bosse dans le domaine informatique (dont la sécurité).
http://doc.ubuntu-fr.org/truecrypt

Il est vrai que ses news :
* http://korben.info/truecrypt.html (TrueCrypt – Mais que se passe-t-il exactement ?)
* http://cointelegraph.com/news/111614/en … y_theories
* http://www.clubic.com/antivirus-securit … ement.html
* http://www.zdnet.fr/actualites/la-myste … 801739.htm
* http://www.zdziarski.com/blog/?p=3316
c'est une bombe dans le milieu de la sécurité informatique, et du chiffrement en particulier.

Il faut savoir qu'il existe dans de nombreux pays des lois "contre" des cryptages élevés que ce soit en Europe , ou aux états unis.
Si vous suivez un peu l'actualité, on peut se rendre compte qu'il y a même des lois qui permettent à certaines autorités de venir "consulter de l'information discrètement" sans vous donner le droit de dire quoi que ce soit.


Et ce sont nos libertés qui en prennent un coup....


TrueCrypt était une bête noir de nombreux services, les exemples sont nombreux; comme celui-ci :
http://korben.info/truecrypt-a-lepreuve-du-fbi.html
http://korben.info/ladar-levison.html
De plus, seule la détection de volume était possible dans certains cas via TCHunt :
http://korben.info/tchunt-detecter-la-p … crypt.html

Dans le cas d'une machine allumée, une option consiste à refroidir la mémoire vive avec de l'azote et lire les données en Ram.
D'une part pas à la portée de tous, mais des chances de réussite très faible.
Infos ici : http://fr.wikipedia.org/wiki/Attaque_pa … 3%A0_froid

On trouve aussi des outils par bruteforce:
http://korben.info/comment-cracker-un-c … crypt.html
https://code.google.com/p/truecrack/
Mais la RDV dans 10 ans...

Pour l'audit : http://www.nextinpact.com/news/87088-pa … urites.htm
En ce qui concerne l'audit et en qualité de développeur, on peux lire : "D’autre part, l’utilisation de fonctions devenues obsolètes dans Windows ou qui sont reconnues comme non sécurisées. Enfin, l’utilisation de types de variables incohérents. Plusieurs autres problèmes de cet acabit ont été pointés, mais iSec tient à mettre en avant la qualité de la documentation fournie par le site officiel."

Ce soft est en place depuis des années, et le code en libre consultation, il y a je pense des personnes qui ont étudié celui-ci bien avant l'audit du dit code.
On peut conclure que le code n'a pas fait l'objet d'optimisation ou de refactoring (rien de grave), pour la partie "vieilles fonctions" : seuls les windowsiens peuvent être affectés.

Autre élément utile :
* http://forum.korben.info/topic/12197-5- … truecrypt/
* http://www.clubic.com/actualite-291758- … crypt.html (uniquement pour windows encore une fois)
Je suis du même avis, l'utilisateur doit respecter des règles, mais le produit en lui même est potentiellement fiable.

Dans le présent, et avant cette bombe du 28 Mai qui laisse tout le monde perplexe, il était plus probable d'attaquer un volume truecrypt si la machine est vérolée (keyloguer, rootkit, etc) que d'avoir entre les mains "un disque chiffré" à décoder.

Le cas d'un Take Over n'est pas exclure :
http://www.blog-nouvelles-technologies. … -de-passe/

A mon sens les causes les plus probables sont :
- Le Hack (site, sourceforge)
- Un des développeurs a fait un "Take Over" suite à des pressions (famille, argent, etc), objectif : le discrédit sur le produit.
- La volonté des développeurs (pour des raisons inconnues à ce jour) de faire quelque chose pour que personne ne souhaite "faire une mise à jour", difficile de faire "un warrent canary"

Imagine on vs force à faire l'ajout d'une backdoor dans le même style que "Lavabit", la solution est simple, tu fais en sorte que personne ne fasse de mise à jour , et se pose des questions.


!!! NE SURTOUT PAS INSTALLER la version 7.2 !!!


Seule la 7.1a est recommandée.
Dans le présent, je vais continuer à utiliser celui-ci jusqu'a ce que j'en sache "plus".
Ce qui me fait chier, c'est qu'il était planifié la gestion "parfaite" des partitions GPT/Disque de 3TB, Bios UEFI...

Au niveau des alternatives, on peut parler de TCPlay, ou encore de RealCrypt.
Mais c'est trop frais, pour parler de migration.

Et puis le coup de "Migrez sur Bit locker, produit propriétaire de Microsoft" c'est comme si une association pour les produits Bio venait à dire : "Migrer sur des OGM".


Dans le présent il faut être patient pour avoir un début d'explication.

EDIT :
Archives des anciennes versions : https://github.com/DrWhax/truecrypt-archive

EDIT (quelques liens pour compléter)
* http://istruecryptauditedyet.com/

Dernière modification par tkof (Le 30/05/2014, à 15:40)


OS:  Ubuntu  + Gnome

Hors ligne

#17 Le 30/05/2014, à 09:06

Brunod

Re : TrueCrypt compromis ?

Puisque c'était open source, quelqu'un a-t-il les sources pour les sauvegarder et les diffuser ? Ce serait bien de ne pas repartir de rien, surtout si ça fonctionnait bien. Je ne m'étais jamais intéressé à ce logiciel avant sa disparition. Je n'en avais pas besoin, mais je pense que ce patrimoine ne doit pas se perdre.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#18 Le 30/05/2014, à 09:06

Haleth

Re : TrueCrypt compromis ?

Utilise les modules de cryptage du noyau : dmcrypt


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#19 Le 30/05/2014, à 09:13

tkof

Re : TrueCrypt compromis ?

Brunod a écrit :

Puisque c'était open source, quelqu'un a-t-il les sources pour les sauvegarder et les diffuser ? Ce serait bien de ne pas repartir de rien, surtout si ça fonctionnait bien. Je ne m'étais jamais intéressé à ce logiciel avant sa disparition. Je n'en avais pas besoin, mais je pense que ce patrimoine ne doit pas se perdre.

Je possède :
- Sources de la 7.1a
- Version officiel pour Linux 32 bits (MD5: fe3206082ec6a4f5b537f0136f720d84)
- Version officiel pour Linux 64 bits (MD5: 236db43eb33571e4f5b985e0323b3f8a)
- Version officiel pour Windows (MD5 : 7a23ac83a0856c352025a6f7c9cc1526)
- Langage Pack FR pour la 7.1a

Au besoin, je peux donner un lien.

Edit:

1) Le lien : https://github.com/DrWhax/truecrypt-archive
2) Du coup j'ai DL toute l'historique du projet wink

Dernière modification par tkof (Le 30/05/2014, à 10:03)


OS:  Ubuntu  + Gnome

Hors ligne

#20 Le 30/05/2014, à 09:18

Brunod

Re : TrueCrypt compromis ?

tkof a écrit :

...

Au besoin, je peux donner un lien.

Je prends !!
N'emballez pas, c'est pour diffuser de suite wink


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#21 Le 30/05/2014, à 09:34

abelthorne

Re : TrueCrypt compromis ?

Une petite remarque supplémentaire : je ne sais plus où j'ai vu ça (Reddit ?) mais quelqu'un parlait d'un blog hébergé chez Wordpress qui ne sert qu'à une chose : diffuser une liste de hashes en rapport avec la version 7.1a. Rien d'autre et uniquement cette version. Il émettait donc l'hypothèse que c'était cette version-là qui était compromise et que cette nouvelle version 7.2 avait pour but de corriger le problème tout en sabordant le projet parce qu'il n'était plus sécurisé.

La situation est toujours aussi floue mais méfiez-vous peut-être aussi de la 7.1a jusqu'à ce que des infos plus précises circulent.

Dernière modification par abelthorne (Le 30/05/2014, à 09:42)

Hors ligne

#22 Le 30/05/2014, à 09:39

Brunod

Re : TrueCrypt compromis ?

Ah, je viens de trouver ceci :
https://github.com/DrWhax/truecrypt-archive
Merci Korben ! smile


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#23 Le 30/05/2014, à 10:01

tkof

Re : TrueCrypt compromis ?

J'ai posté le lien dans un edit...

La différence entre la 7.1 et la 7.1a est visible dans l'ancien changelog.
Perso je me souviens juste que j'avais des améliorations au setup, dans la gestion des sauvegardes des headers , etc.

Utiliser (ou même tester) la 7.2 c'est du suicide, car elle ne marche pas.
Je l'ai même pas essayer dans une VM...


OS:  Ubuntu  + Gnome

Hors ligne

#24 Le 30/05/2014, à 10:05

Brunod

Re : TrueCrypt compromis ?

@tkof, as-tu pu vérifier si les v. proposées sont les mêmes que toi (qu'elles n'ont pas été altérées) ?


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#25 Le 30/05/2014, à 10:15

tkof

Re : TrueCrypt compromis ?

Il y a la date sur Github, et ses archives sont antérieures au problème que l'on rencontre aujourd'hui.
Mais comparer les fichiers, c'est la première chose que je vais faire.

EDIT :
On peut voir "les sources" de synchronisation sur ce dépôt, et les commentaires.

Dernière modification par tkof (Le 30/05/2014, à 10:19)


OS:  Ubuntu  + Gnome

Hors ligne