Chiffrement des données : des failles critiques dans VeraCrypt

L’audit de VeraCrypt a révélé plusieurs failles dont quelques-unes sont critiques. Une nouvelle version du logiciel de chiffrement de disque a été publiée mais il n’a pas été possible de tout corriger.

C’est un audit qui a été d’une extrême utilité. Enclenché cet été pour évaluer la qualité du code source de VeraCrypt, un programme de chiffrement de disque, il a permis de déceler un certain nombre de faiblesses dans la conception du logiciel. Ces failles ont été corrigées pour la plupart par l’équipe de développement dans la nouvelle version de l’application, numérotée VeraCrypt 1.9.

Disque dur

Synthétisé par l’initiative Open Source Technology Improvement Fund (OSTIF), qui a encadré l’audit de VeraCrypt, le travail effectué par la société française QuarksLab a mis en lumière un total de 26 problèmes dont la gravité est plus ou moins prononcée : 8 sont critiques, 3 sont moyennes et les 15 dernières sont mineures ou ne sont que de simples préoccupations.

Malheureusement, la publication de la version 1.9 de VeraCrypt n’a pas pu résoudre l’ensemble des soucis relevés par QuarksLab car les solutions proposées pour enlever certaines failles sont « hautement complexes ». En attendant de savoir s’il est possible de les combler, et le cas échéant, quand, des solutions provisoires ont été ajoutées dans la documentation de VeraCrypt.

Parmi les modifications qui ont été apportées avec VeraCrypt 1.9 figure le retrait complet de l’option de chiffrement basé sur l’algorithme de chiffrement par bloc GOST 28147-89. « L’implémentation était dangereuse. La fonctionnalité pour le déchiffrement des volumes qui ont utilisé cette solution est toujours en place, mais les nouveaux volumes ne peuvent pas être créés avec cette méthode », est-il expliqué.

Tout n’a pas pu être corrigé dans l’immédiat

Il est aussi annoncé la suppression des composants XZip et XUnzip au profit d’une nouvelle bibliothèque pour gérer de fichiers compressés, libzip.

VeraCrypt ainsi que son bootloader (chargeur d’amorçage) ont aussi été réécrits en partie pour résoudre une série de problèmes allant de la corruption de mémoire à l’effacement imparfait de certaines données sensibles, en passant par la frappe au clavier qui n’était pas correctement effacée après l’authentification. La liste peut être consultée directement sur le site de l’OSTIF ou dans l’audit lui-même.

En France, l’État liste VeraCrypt dans son référentiel des logiciels libres.

À lire sur Numerama : Chiffrement de disque  : l’audit de VeraCrypt est lancé

Partager sur les réseaux sociaux

Articles liés

Lire

Chiffrement de disque : l'audit de VeraCrypt est lancé

Chiffrement de disque : l’audit de VeraCrypt est lancé

19 août 2016

Lire

VeraCrypt 1.17 : nouvelle version de l'outil de chiffrement de disque

VeraCrypt 1.17 : nouvelle version de l’outil de chiffrement de disque

15 février 2016

Lire

Facebook Messenger teste la destruction programmée des conversations

Facebook Messenger teste la destruction programmée des conversations

08 juillet 2016

Lire

Drown : un tiers des serveurs HTTPS est vulnérable à une nouvelle faille critique

Drown : un tiers des serveurs HTTPS est vulnérable à une nouvelle faille critique

01 mars 2016

Lire

Chiffrement : Microsoft aussi veut condamner le SHA-1 au plus vite

Chiffrement : Microsoft aussi veut condamner le SHA-1 au plus vite

05 novembre 2015

Lire

Apple recrute des experts en sécurité à l'aube de son audience face au Congrès

Apple recrute des experts en sécurité à l’aube de son audience face au Congrès

26 février 2016


Source: Numerama