TrueCrypt compromis ?

Darkayser · Le 30/05/2014, à 15:19

Je suis tombé sur ça :

A voir si les version proposées en téléchargement sont compromises ou pas ..

Ce qui est sur, c'est que ça "pue du ***" cette histoire..

moissan · Le 30/05/2014, à 17:52

je me pose une question : y a il une vraie faille de securité ?

ou n'est ce pas simplement un nouveau propriétaire d'un truecrypt qui n'était pas libre , qui veut le supprimer au profit d'un autre ?

le defaut de truecrypt n'etait il pas d'être trop bon sans moyen d'accès caché reservè au force de l'ordre ? donc a supprimer au profit d'un truc a microsft ...

en tout cas ce site http://truecrypt.ch/ donne un moyen de telecharger les version qui marchaient , au lieu de n'avoir plus que la nouvelle version qui ne peut que lire

ça confirme une chose : il logiciel libre ( ou presque libre ) ne peut pas disparaitre ! même si il n'est pas vraiment libre , tant que les sources etaient disponible , le propriétaire ne peut plus les faire disparaitres

ça permetra d'essayer et de comparer avec la version libre qui est toujours dans la logithèque ubuntu : tcplay

tcplay et truecrypt sont il compatibles ? tcplay n'est que en ligne de commande , mais peu importe pourvu que ça marche

cep · Le 30/05/2014, à 18:10

Je ne comprends pas le gout de certains à vouloir pondre des élucubrations fumeuses et échafauder je ne sais quelles théories.

Les développeurs eux-mêmes, et je rappelle d'ailleurs qu'ils ont toujours voulu rester anonymes, ont écrit sur leur programme :
« WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on other platforms. You should migrate any data encrypted by TrueCrypt to encrypted disks or virtual disk images supported on your platform. »

Bref, des vunérabilités, plus ou moins graves mais qui font perdre tout interêt à leur programmes.
Quelques unes des dernières vulnérabilités :
http://www.globalsecuritymag.fr/Vigil-n … 44664.html

Sur ce, quel intérêt à vouloir utiliser un programme dont les failles ne seront pas corrigées. Simplement passer à d'autres solutions. Il en existe et d'autrement plus fiables que celle conseillée sur le site de Truecrypt, à savoir Bitlocker.

Brunod · Le 30/05/2014, à 18:23

Oui, mais c'est pour windows ça, nous on est sur linux... et il n'y a pas de bitlocker.
C'est donc bizarre de supprimer un logiciel multiplateforme parce qu'il existerait une solution pour une seule plateforme. Et en plus faire disparaître les fichiers des versions antérieures. Microsoft aurait racheté truecrypt ?
Puis quand tu lis ce qui est paru il y a qq jours sur le site de lavabit, avoue qu'il y a de quoi s'interroger. Sauf si on reste avec maya au pays des bisounours...
Bon, c'est vrai que si comme certains, tu lis la phrase du site :
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues
en te focalisant sur les initiales des mots :
WARNING: Using TrueCrypt is N. S. A. it may contain unfixed security issues
on peut peut-être parler de hasard...

Dernière modification par Brunod (Le 30/05/2014, à 18:32)

cep · Le 30/05/2014, à 18:36

Brunod a écrit :

Oui, mais c'est pour windows ça, nous on est sur linux... et il n'y a pas de bitlocker.
C'est donc bizarre de supprimer un logiciel multiplateforme parce qu'il existerait une solution pour une seule plateforme. Et en plus faire disparaître les fichiers des versions antérieures. Microsoft aurait racheté truecrypt ?
Puis quand tu lis ce qui est paru il y a qq jours sur le site de lavabit, avoue qu'il y a de quoi s'interroger. Sauf si on reste avec maya au pays des bisounours...

Et tu as parfaitement raison. Bitlocker est pour Windows. Mais Truecrypt aussi était pour Windows, même si on pouvait l'utiliser d'une certaine façon sur Linux. Par contre sur Linux seulement il n'y avait aucun intérêt à l'utiliser car on dispose d'autres solutions.

Pour le reste évidement que tout est étrange, voir douteux. Mais je me garderai bien d'en privilégier une plus que l'autre. Je reste sur le plan technique, sur ce que l'on connait et aussi j'attends ce que va révéler le prochain audit.

C'est pour toutes ces raisons que je ne comprends pas certains qui veulent élucubrer et continuer à utiliser d'anciennes versions.

Brunod · Le 30/05/2014, à 18:43

cep a écrit :

...Par contre sur Linux seulement il n'y avait aucun intérêt à l'utiliser car on dispose d'autres solutions.
...

Tu peux m'en dire plus ?

moissan · Le 30/05/2014, à 18:48

qui a une reponse a la question : truecrypt et tcplay sont il compatible ?

si il ne sont pas compatible , ça pourrait etre mieux ! si ce qui est cryté par tcplay et definitivement inaccessible a truecrypt windows , ça evite les probleme et on peut s'en servir sans inquiétude

Brunod · Le 30/05/2014, à 18:55

Si j'ai bien compris, tcplay permet de relire les fichiers truecrypt; c'est l'équivalent de la version 7.2 actuelle.

Zakhar · Le 30/05/2014, à 19:12

Non, ce sont visiblement bien les développeurs qui ont arrêté... ils en ont eu marre !

(ANGLAIS) https://www.grc.com/misc/truecrypt/truecrypt.htm

Quant à enFS cité plus haut, c'est complémentaire, ça ne remplace pas. encFS a un fonctionnement fichier par fichier, tandis que TC/dm_crypt fonctionne par "bloc". Donc encFS est idéal pour une sauvegarde Cloud (TC en cloud c'est galère, le moindre octet changé et vous devez ré-uploader tout le conteneur), et TC/dm_crypt est plus commode en "local".

tcplay cité plus haut est parfait !
Il n'a aucun rapport avec truecrypt, c'est un code totalement différent qui se base sur les librairies standard Linux. De plus, il est dans les dépôts standards Ubuntu. La licence est une licence BSD classique, contrairement à la licence étrange, jamais "homologuée" comme vraiment libre, de TC.

Depuis la 14.04, et avant même cette surprenante annonce, j'utilise exclusivement tcplay, cela fonctionne parfaitement.

Cependant, pour le futur, je vous engage à vous documenter sur dm_crypt, cryptsetup, LUKS, etc... qui sont les solutions standard Linux... je vais moi-même approfondir les sujets.

Pour vous rassurer, puisque vos volumes TreuCrypt fonctionnent parfaitement avec tcplay, donc uniquement avec du code ouvert et standard, il n'y a absolument aucune faille à craindre dans l'immédiat.

Aussi les développeurs de TC disaient cibler W$... pas trop grave si ça s'arrête puisque Linux a déjà des solutions qui sont dans le kernel depuis la 2.6 (dm_crypt), on a donc largement de quoi remplacer depuis belle lurette !

cep · Le 30/05/2014, à 19:37

Brunod a écrit :

cep a écrit :
...Par contre sur Linux seulement il n'y avait aucun intérêt à l'utiliser car on dispose d'autres solutions.
...
Tu peux m'en dire plus ?

Je te propose de lire ceci :
http://blog-libre.org/post/2014/03/26/t … -truecrypt

Ce sera plus confortable que de reproduire ici

Et pour :

Brunod a écrit :

Si j'ai bien compris, tcplay permet de relire les fichiers truecrypt; c'est l'équivalent de la version 7.2 actuelle.

Non la version 7.2 est une version très spéciale à utiliser uniquement pour passer à autre chose, c'est à dire des solutions incorporées dans Windows ou Mac. Voir le site de Truecrypt c'est expliqué.

Édit : j'avais fait des tutos sur le chiffrement sur Ubuntu en 2005 ou 2006 mais je n'ai plus les liens.

Dernière modification par cep (Le 30/05/2014, à 19:40)

Brunod · Le 30/05/2014, à 19:41

Merci !
Edit : J'ai lu en vitesse, mais je n'ai pas vu qu'il était possible de créer les containers avec tcplay. Est-ce possible ou pas ? Dans ce cas, quel logiciel utiliser ? Merci
Ah, ce serait ainsi :

Create a new container foo.tc, 20M in size for instance, in the working directory:
 # dd if=/dev/zero of=foo.tc bs=1 count=0 seek=20M
 # losetup /dev/loop0 foo.tc
 # tcplay -c -d /dev/loop0 -a whirlpool -b AES-256-XTS

Dernière modification par Brunod (Le 30/05/2014, à 19:48)

Zakhar · Le 30/05/2014, à 22:11

J'ai fait un strace de tcplay, à mon sens c'est juste une commande front-end de dm-crypt.

En effet, lorsqu'on monte un conteneur chiffré avec tcplay, il n'y a aucun fork, et tcplay ne reste pas en daemon.

Par conséquent, une fois "mappé", c'est le kernel qui s'occupe de tout.

... j'ai pu me tromper dans mon analyse (dites-moi), mais c'est bien une situation idéale d'un point de vue sécurité.

Dernière modification par Zakhar (Le 30/05/2014, à 22:12)

cep · Le 30/05/2014, à 22:36

Déjà après avoir récupéré les sources du paquet faire un rgrep . |grep dm-crypt te donnera une idée.

tkof · Le 31/05/2014, à 03:34

cep a écrit :

Je ne comprends pas le gout de certains à vouloir pondre des élucubrations fumeuses et échafauder je ne sais quelles théories.
Les développeurs eux-mêmes, (....).

---> NON...

Non tu divague là, c'est incohérent de proposer à des personnes de passer sur un soft de merde quand on proposer une merveille.
Pire encore le site a disparu, cela ressemble à defasage.
Encore plus louche de parler de Windows XP (qui est hors sujet).

En qualité de professionnel, je ne vais pas rentrer dans des théories conspirationniste et délirantes, mais je trouve tout ça très suspect.

La probabilité du vol de la cléf n'est pas à exclure.

Mais pour moi je penche à une grosse enveloppe de cash$ transmis à l'un des devs, pour saborder le projet.
Mais même dans ce cas là, tu ferme pas brutalement un site.

Pour TC Play, je vous recommande de faire un topic à part...
(Il en existe déja plusieurs sur le forum)

Dernière modification par tkof (Le 31/05/2014, à 03:40)

moko138 · Le 31/05/2014, à 06:17

tkof a écrit :

le coup de "Migrez sur Bit locker, produit propriétaire de Microsoft" c'est comme si une association pour les produits Bio venait à dire : "Migrer sur des OGM".

Exactement !

cep · Le 31/05/2014, à 07:12

@tkof :
je te recommande de relire les posts et billets et de faire l'effort de comprendre ce que tu lis avant de réagir.

Compte anonymisé · Le 31/05/2014, à 12:50

Interface graphique de tcplay => zuluCrypt

+ https://code.google.com/p/zulucrypt/
"zuluCrypt is a front end to cryptsetup and tcplay and it is a tool that make it easy to manage LUKS,PLAIN and TRUECRYPT encrypted volumes through a GUI and a simpler to use CLI interface. "

Dernière modification par Compte anonymisé (Le 31/05/2014, à 12:58)

spinoziste · Le 31/05/2014, à 14:03

Truecrypt n'est pas la seule alternative de chiffrement . Aussi lugubre et triste que soit cette nouvelle ce n'est pas la fin du monde il y aura toujours des devs pour travailler sur des outils surs .

En ce qui me concerne je ne vais plus utiliser truecrypt et ça ne va pas me trouer le cul .

Dernière modification par spinoziste (Le 31/05/2014, à 14:03)

tooguy66 · Le 31/05/2014, à 17:30

Enfin truecrypt c'était la panacée quand même, sous windows, sous linux ,et sous mac. Qui y a t-il dans la logithèque qui propose les mêmes services

spinoziste · Le 31/05/2014, à 17:38

Ça va forker dans peu de temps si c'est pas déjà en route .

Zakhar · Le 01/06/2014, à 09:28

tooguy66 a écrit :

(...) sous windows, sous linux ,et sous mac.

En ce qui me concerne, ça fonctionne sous Linux, et des alternatives vraiment libres existent. Les deux autres O.S. ça fait plus d'un lustre que je m'en fiche un peu.

spinoziste · Le 01/06/2014, à 11:19

Zakhar a écrit :

tooguy66 a écrit :
(...) sous windows, sous linux ,et sous mac.
En ce qui me concerne, ça fonctionne sous Linux, et des alternatives vraiment libres existent. Les deux autres O.S. ça fait plus d'un lustre que je m'en fiche un peu.

Idem .

cep · Le 01/06/2014, à 11:41

@Zakhar et spinoziste
Bien sûr. Mais ce programme est populaire sous Windows et justement il permettait une certaine interopérabilité.
Imagine, tu travailles sur Linux et, par clés usb, tu dois échanger des données confidentielles avec quelqu'un travaillant sous Windows. Des solutions de ce genre sont tout de même intéressantes

D'un autre côté il faudra suivre ceci : . http://truecrypt.ch/ qui s'ils nettoient le code après audit peut être prometteur. D'autant que les développeurs ne seront plus anonymes. Et cela aussi c'est important.

Zakhar · Le 01/06/2014, à 17:27

cep a écrit :

des données confidentielles avec quelqu'un travaillant sous Windows.

<mode troll="on">
C'est un oxymoron (je te laisse chercher la définition !).

A partir du moment où tu mets des données sous W$, elles ne sont plus confidentielles, donc à quoi bon s'ennuyer à chiffrer, autant utiliser BitLocker comme le disent les gars d'ex-TC si ça peut te soulager de chiffrer !
</mode>

C'est comme le VPN de la Freebox. Quand tu le paramètres en serveur, il est super sympa, il te donne les clés publiques ET privées de tes clients ! Autrement dit la sécurité de ton client n'a pas de secret pour la Freebox puisqu'elle a la clé privée. Heureusement que le cas d'usage dans ce cas ce n'est pas la sécurité vis à vis de Free, mais de pouvoir surfer à distance via sa Freebox, comme c'est bien expliqué dans la doc.

Dernière modification par Zakhar (Le 01/06/2014, à 17:37)

spinoziste · Le 01/06/2014, à 18:19

Zakhar a écrit :

cep a écrit :
des données confidentielles avec quelqu'un travaillant sous Windows.

C'est comme le VPN de la Freebox. Quand tu le paramètres en serveur, il est super sympa, il te donne les clés publiques ET privées de tes clients ! Autrement dit la sécurité de ton client n'a pas de secret pour la Freebox puisqu'elle a la clé privée. Heureusement que le cas d'usage dans ce cas ce n'est pas la sécurité vis à vis de Free, mais de pouvoir surfer à distance via sa Freebox, comme c'est bien expliqué dans la doc.

Je plussoie quand j'ai vu l'option fraiche sur mon routeur je me suis bien marré .

Le plus désolant dans cette histoire (truecrypt) c'est pour les Windowsiens et les Linuxiens qui échangent avec eux alors ? [mini troll]Who cares ? [/mini troll]

Dernière modification par spinoziste (Le 01/06/2014, à 18:20)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 30/05/2014, à 15:19

Re : TrueCrypt compromis ?

#27 Le 30/05/2014, à 17:52

Re : TrueCrypt compromis ?

#28 Le 30/05/2014, à 18:10

Re : TrueCrypt compromis ?

#29 Le 30/05/2014, à 18:23

Re : TrueCrypt compromis ?

#30 Le 30/05/2014, à 18:36

Re : TrueCrypt compromis ?

#31 Le 30/05/2014, à 18:43

Re : TrueCrypt compromis ?

#32 Le 30/05/2014, à 18:48

Re : TrueCrypt compromis ?

#33 Le 30/05/2014, à 18:55

Re : TrueCrypt compromis ?

#34 Le 30/05/2014, à 19:12

Re : TrueCrypt compromis ?

#35 Le 30/05/2014, à 19:37

Re : TrueCrypt compromis ?

#36 Le 30/05/2014, à 19:41

Re : TrueCrypt compromis ?

#37 Le 30/05/2014, à 22:11

Re : TrueCrypt compromis ?

#38 Le 30/05/2014, à 22:36

Re : TrueCrypt compromis ?

#39 Le 31/05/2014, à 03:34

Re : TrueCrypt compromis ?

#40 Le 31/05/2014, à 06:17

Re : TrueCrypt compromis ?

#41 Le 31/05/2014, à 07:12

Re : TrueCrypt compromis ?

#42 Le 31/05/2014, à 12:50

Re : TrueCrypt compromis ?

#43 Le 31/05/2014, à 14:03

Re : TrueCrypt compromis ?

#44 Le 31/05/2014, à 17:30

Re : TrueCrypt compromis ?

#45 Le 31/05/2014, à 17:38

Re : TrueCrypt compromis ?

#46 Le 01/06/2014, à 09:28

Re : TrueCrypt compromis ?

#47 Le 01/06/2014, à 11:19

Re : TrueCrypt compromis ?

#48 Le 01/06/2014, à 11:41

Re : TrueCrypt compromis ?

#49 Le 01/06/2014, à 17:27

Re : TrueCrypt compromis ?

#50 Le 01/06/2014, à 18:19

Re : TrueCrypt compromis ?

Pied de page des forums