TrueCrypt : le déni plausible en question

Le par  |  7 commentaire(s)
Truecrypt_logo

La fonctionnalité deniability du logiciel de chiffrement TrueCrypt a perdu de son crédit aux yeux d'un spécialiste de la question.

Truecrypt_logoEn début de mois, le logiciel de chiffrement gratuit, open source et multiplateformes TrueCrypt a refait parler de lui avec la sortie d'une version 6.0, et dans la foulée 6.0a, apportant son lots de nouveautés avec la prise en charge des multicoeurs, le chiffrement de systèmes d'exploitation en entier, de partitions étendues.

Cependant, ce sont les versions antérieures de TrueCrypt qui reviennent sur le devant de la scène suite à la découverte de Bruce Schneier qui avec des chercheurs de l'Université de Washington a mis à mal la fonctionnalité deniability de TrueCrypt, portant par la même occasion un discrédit quant à la fiabilité de cette fonctionnalité pour la dernière mouture du logiciel.

L'une des fonctionnalités phares de TrueCrypt est le chiffrement de disque avec deniability (ou déni). Il est ainsi possible de non seulement chiffrer des données, mais également de les cacher à l'intérieur d'autres pour les rendre en somme invisibles. Leur existence ne peut alors être prouvée, ou plutôt elle est niable d'où la notion de déni plausible. Selon Schneier, le système d'exploitation Windows Vista, le traitement de texte Microsoft Word et le logiciel d'indexation de données locales Google Desktop, compromettent la fonctionnalité deniability pour un DFS TrueCrypt (Deniable File Systems) créé. Ces applications écrivent des fichiers temporaires comme les récents changements apportés à des documents, dans la partie chiffrée du disque, ce qui nuit à l'intégrité de la fonctionnalité deniability, en révélant l'existence de données dissimulées.

" Si vous ne chiffrez pas votre disque entièrement, il y a une possibilité, et c'est même très probable, que l'information de la partition chiffrée sera victime d'une fuite sur le reste du disque non chiffré. Le chiffrement intégral est la meilleure option ", indique Schneier qui escompte en dire plus à l'occasion du Usenix HotSe'08.

Cette fuite d'information semble avoir été palliée dans la dernière mouture de TrueCrypt. Néanmoins, même si Schneier et ses collègues ne peuvent pas casser la fonctionnalité deniability de TrueCrypt 6.0, il estime que mieux vaut " ne pas faire confiance " en cette dernière.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #280761
Lire le dernier paragraphe de la news laisse à penser qu'il ne s'agit là que d'un feu étouffé
Le #280771
Il y a quelque temps j'expliquais que TrueCrypt ne pouvait être fiable, on en a maintenant la preuve.
Le #280841
Je ne connais pas cette fonction, mais es ce qu'une analyse de la taille du disque, de la taille de la partition ne suffisent pas à prouver ce déni ?
Le #280871
je crois que tu peux cacher des information en les mettants dans des fichiers

par exemple, il y a plein d'outils pour mettre des fichiers dans des images
donc pour trouver ca il faut chercher dans tout les fichiers si il n'y a pas une partie "inutile"

essaye de me dire dans une dll ou dans une video ou dans un word

alors sur un disque remplis de données il doit etre possible de trouver cette information en chechant des patterns spécifiques à trueCrypt mais je pense qu'ils ont bien réflechi au problème

alors ce n'est peut être pas sur à 100%
en gros en gars qui "sent" qu'il manque des données va chercher plus profond et peut etre trouver l'info
mais si tu regardes simplement tu ne verra rien du tout
Le #280941
jvachez :

J'étais sûr qu'il allait l'ouvrir ...
Le #280961
jvachez >tu n'es toujours pas capable de lire la donnée, tu es juste capable de dire il y avait ce fichier à tel date...
Le boulet c'est celui qui installe une application qui indexe le contenu de ses fichiers sans pour autant lui demander d'exclure les disques chiffrés.

PS: mettre les données dans un rar à mot de passe est vulnérable à la même attaque :P

Le #281371
Utiliser TrueCrypt dans l'environnement que décrit Schneier c'est vraiment être un boulet !
Cela n'enlève rien à la crédibilité de la fonction de plausibilité du déni.
Si l'utilisateur est con, il est con, c'est tout.
db
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]