AccueilActualités informatiqueCalendrier de l'Avent open source : Le programme de cryptage VeraCrypt

Calendrier de l’Avent open source : Le programme de cryptage VeraCrypt

Ceci est un calendrier de l’Avent pour les techies. Dans le monde numérique commercialisé à outrance, presque tout appartient à un grand groupe Internet. Leurs logiciels ne sont ni ouverts ni libres. En contrepartie, il existe ce petit îlot du monde open source : des logiciels dont le code peut être consulté publiquement et vérifié de manière indépendante quant à d’éventuelles failles de sécurité et portes dérobées. Un logiciel qui peut être utilisé, diffusé et amélioré librement. Le moteur de ce travail est souvent tout simplement le plaisir de mettre à disposition de la société quelque chose d’utile.

Le calendrier de l’Avent open source

Du 1er au 24 décembre, de courts portraits de projets open source seront publiés sur heise online. Ils traitent des fonctions de chaque logiciel, de ses pièges, de son histoire, de son contexte et de son financement.

  • 1er décembre : navigateur web Firefox

  • 2 décembre : App-Store F-Droid

  • 3 décembre : paquet Office LibreOffice

  • 4 décembre : système d’exploitation mobile Android

  • 5 décembre : le navigateur d’anonymat Tor

  • 6 décembre : lecteur multimédia VLC

  • 7 décembre : renseignements sur les horaires des transports publics

  • 8 décembre : gestionnaire de mots de passe KeePass

  • 9 décembre : messagerie Telegram

  • 10 décembre : moteur de navigation Chromium

  • 11 décembre : la porte et son écosystème

  • 12 décembre : Le système de construction de blogs et de sites web WordPress

  • 13 décembre : logiciel de traitement d’images Gimp

  • 14 décembre : programme de messagerie Thunderbird

Du 1er au 24 décembre, de courts portraits de projets open source seront publiés sur heise online. Ceux-ci traitent des fonctions des logiciels respectifs, de leurs pièges, de leur histoire, de leur arrière-plan et de leur financement. Derrière certains projets se cache une personne seule, derrière d’autres une communauté peu organisée, une fondation gérée de manière stricte avec des professionnels ou un consortium. Le travail est purement bénévole ou financé par des dons, des coopérations avec des groupes Internet, des subventions publiques ou un modèle d’entreprise open source. Qu’il s’agisse d’une application individuelle ou d’un écosystème complexe, d’un programme pour PC, d’une application ou d’un système d’exploitation, la diversité de l’open source est stupéfiante.

Sommaire

VeraCrypt est un programme de cryptage pour PC qui transforme un dossier, l’ordinateur entier ou une clé USB en un coffre-fort de haute sécurité. Sur demande, il peut être doté d’un compartiment secret supplémentaire. Selon l’exploitant, la version actuelle a été téléchargée environ quatre millions de fois. Le code source est disponible sous la licence Apache License 2.0. VeraCrypt permet de créer en quelques clics un « conteneur » qui crypte toutes les données qu’il contient avec un mot de passe. Un tel conteneur peut être un dossier individuel, un disque dur, une clé USB ou tout autre support de données.

Les conteneurs cachés sont une particularité : on crée d’abord un dossier alibi avec un mot de passe et, à l’intérieur de ce dossier, avec un deuxième mot de passe, le « vrai » conteneur. Celui-ci contient les fichiers à protéger réellement. Selon le mot de passe que l’on saisit ensuite, le conteneur alibi ou le véritable conteneur s’ouvre.

Tout comme le gestionnaire de mots de passe KeePass ou le système de calcul d’itinéraires Öffi, VeraCrypt est en grande partie un projet unipersonnel. Le logiciel a été développé par l’expert français en cryptage Mounir Idrassi. Sa société Idrix, basée à Paris, est le fournisseur officiel du programme.

Sur son site web, Idrix propose différents outils et produits cryptographiques, dont DirHash, un programme basé sur une console pour calculer les valeurs de hachage, ou un processeur pour cartes à puce. Le principal modèle économique de l’entreprise est le conseil en matière de projets de cryptage et de cartes à puce, explique Idrassi dans un entretien avec heise online. Selon lui, les revenus générés par VeraCrypt ne prennent que parfois la forme d’une assistance payante.

Il ne peut pas dire exactement combien de temps il consacre à VeraCrypt. Cela dépend du temps libre qu’il lui reste à côté de son travail et de sa famille. Parfois, il passe dix heures par semaine sur le logiciel, parfois toute la semaine de travail. Le travail sur le code est presque exclusivement le sien. Idrassi estime qu’il travaille à environ 96 pour cent.

Le reste des contributions au code provient d’une petite communauté de bénévoles. Il compte également parmi cette communauté trois personnes qui répondent régulièrement aux questions sur le forum et une dizaine de personnes qui aident à la traduction.

VeraCrypt est un fork de TrueCrypt, publié en 2004 et abandonné depuis. En 2012, Idrix a reçu une demande de client concernant TrueCrypt, raconte Idrassi. Pour cette raison et par intérêt personnel, il a voulu comprendre exactement le logiciel et l’a examiné de près. Le code était en principe bon. Mais TrueCrypt ne protégeait pas assez les données contre les attaques par force brute. Il avait donc décidé de forker le logiciel et de l’améliorer. En juin 2013, quelques jours après le début de l’affaire Snowden, Idrassi a publié VeraCrypt.

Un an plus tard, le projet précédent a connu d’étranges développements. En mai 2014, les exploitants anonymes ont averti que TrueCrypt n’était pas sûr en raison de failles de sécurité non corrigées. Ils recommandaient de passer au programme de cryptage BitLocker de Microsoft.

Le monde de l’informatique s’est retrouvé face à une énigme. Le chercheur en sécurité Matthew Green, qui avait précédemment participé à un examen du logiciel, a écrit sur Twitteret qu’il n’avait aucune idée de ce que cela pouvait signifier. Cet étrange avertissement était-il peut-être une réaction au fait que les autorités avaient forcé TrueCrypt à compromettre son logiciel, par exemple en y installant une porte dérobée ?

Avec le temps, VeraCrypt s’est imposé comme la recommandation open source pour le cryptage sécurisé de fichiers. Le programme est aujourd’hui la recommandation standard des organisations Digitalcourage et Tactical Tech.

On ne sait toujours pas ce qui s’est passé à l’époque et qui se cachait derrière la « TrueCrypt Foundation », qui agit de manière anonyme. En 2016, un journaliste américain a présenté des indices d’un contexte inhabituel pour les projets open source : le créateur de TrueCrypt aurait été Paul Le Roux, un baron de la drogue surdoué agissant à l’échelle mondiale et grand criminel.

Le Roux, originaire du Zimbabwe, avait lancé en 1998 le programme de cryptage open source E4M (« Encryption for the Masses »). Au début des années 2000, la société munichoise Securstar GmbH l’a engagé. Pour elle, il devait développer un logiciel de cryptage commercial appelé DriveCrypt. En 2002, Le Roux a dû partir. Il avait été découvert qu’il avait également intégré des parties du code développé pour DriveCrypt dans son propre programme E4M.

Après son éviction, Le Roux s’est tourné vers un nouveau secteur d’activité : il s’est lancé dans le commerce illégal de médicaments sur le web, auquel se sont ajoutés plus tard le trafic de drogue et la contrebande d’armes. Il a également commandité sept meurtres, comme il l’a reconnu plus tard devant le tribunal.

Le Roux s’est retrouvé dans le collimateur de la DEA, l’agence américaine de lutte contre les stupéfiants, a été arrêté en 2012, s’est présenté comme informateur sur le milieu de la drogue dans le cadre d’un accord et a été placé depuis en détention provisoire aux États-Unis. Selon les conclusions du journaliste américain Evan Ratliff, qui a lancé le débat sur Le Roux, il a été condamné en 2020 à 25 ans de prison en tenant compte de sa détention provisoire.

Il est clair que TrueCrypt était basé sur E4M et que l’arrestation et la fin de TrueCrypt ont eu lieu à une époque similaire. En revanche, on ne sait toujours pas si Le Roux était vraiment la personne derrière la fondation TrueCrypt.

Mounir Idrassi en sait-il éventuellement plus sur l’arrière-plan ? Non. Il avait toutefois remarqué à l’époque le niveau de professionnalisme étonnamment élevé du code TrueCrypt, comme on en trouve rarement dans les projets open source. Cela indique que le projet était très bien financé. Le Roux disposait de beaucoup d’argent en raison de ses activités criminelles. Il estime toutefois que « comme pour la technique d’anonymisation Tor, un acteur étatique pourrait tout aussi bien être à l’origine de TrueCrypt ».

Mounir Idrassi répond à la question provocante de heise online, à savoir pourquoi on devrait lui faire confiance, lui qui développe presque seul une technologie clé de l’autodéfense numérique : « Pour TrueCrypt, il a été confronté à la même question en 2012 et a donc examiné le code source de près. Contrairement à l’équipe anonyme de TrueCrypt, il développe toutefois VeraCrypt sous son vrai nom. En outre, des audits ont été réalisés avec succès. La dernière fois, en 2020, le Fraunhofer-Institut für Sichere Informationstechnik avait publié une analyse de 100 pages à la demande du BSI et n’avait trouvé aucune faille problématique. Selon Idrassi, la confiance ne naît pas de l’appartenance à une organisation ou à un groupe, mais doit être gagnée par des années de travail.

Le travail sur cette série d’articles repose en partie sur une bourse « Neustart Kultur » du Délégué du gouvernement fédéral à la culture et aux médias, attribuée par la VG Wort.

Plus d'articles