Faut-il abandonner TrueCrypt ? (nouveau titre) - Page 2
Répondre à la discussion
Page 2 sur 2 PremièrePremière 2
Affichage des résultats 31 à 42 sur 42

Faut-il abandonner TrueCrypt ? (nouveau titre)



  1. #31
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!


    ------



    Je n'ai pas d'expérience personnelle donc je n'ai aucune idée sur son ergonomie mais c'est très connu.

    -----
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  2. #32
    yoda1234

    Re : N'utilisez plus TrueCrypt!

    Bonjour,

    l'audit est terminé et 4 vulnérabilités ont été détectées, dont 2 importantes. Mais ces faiblesses ne permettent pas de casser TrueCrypt dans le cadre d'un usage normal. http://korben.info/laudit-de-truecrypt-est-termine.html
    Pour les plus techniques d'entre nous, le rapport se trouve ici : https://opencryptoaudit.org/reports/...OCAP_final.pdf
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  3. #33
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Pour les anglophones le billet de Matthew Green, à l'origine de l'audit de TrueCrypt : http://blog.cryptographyengineering....pt-report.html

    Le petit souci concernant le générateur de nombre aléatoire ne concerne que la version Windows. Pour comprendre le problème il faut savoir que le mot de passe qu'on fournit à Truecrypt n'est pas la clé qui sert à chiffrer le document. La clé de chiffrage (en fait il y en a même deux) est générée automatiquement par Truecrypt au moment où l'on utilise ce logiciel pour formater le conteneur. Autrement dit personne ne la connaît. Elle est créée en utilisant un générateur de nombre aléatoire. C'est généralement le point sensible des système de cryptographie moderne : plus le générateur est aléatoire, plus le nombre de clés qu'il faudrait tester est grand, et hors de portée des ordinateurs actuels. Pour être le plus aléatoire possible le système utilise diverses sources de données pseudo-aléatoires de l'ordinateur qu'il mixe, dont l'API de cryptographie de Windows. Or il peut arriver, de façon extrêmement rare, que cette API ne démarre pas, ce qui affaiblit un peu le générateur aléatoire.

    Mais ce défaut est très facilement corrigeable.

    Alors on peut se demander à quoi sert le mot de passe tapé par l'utilisateur : uniquement à lire l'en-tête du conteneur TrueCrypt, dans lequel sont dissimulées sous forme chiffrée différentes choses, dont les clés de chiffrement avec lesquelles Truecrypt ouvrira automatiquement le volume crypté. La seule chose qu'on peut tenter pour casser le code c'est d'utiliser un logiciel testant en rafale une multitude de mots de passe, soit en utilisant un dictionnaire, soit générés automatiquement (technique appelée force brute). Mais là encore Truecrypt utilise diverses parades rendant la tâche pratiquement impossible si le mot de passe est suffisamment long et compliqué.

    L'attaque par force brute ou dictionnaire est devenue impossible avec Veracrypt, le clone amélioré de TrueCrypt : en effet le délai minimum pour que Veracrypt accepte l'essai d'un nouveau mot de passe a été considérablement allongé.
    Dernière modification par JPL ; 02/04/2015 à 20h54.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  4. #34
    yoda1234

    Re : N'utilisez plus TrueCrypt!

    Un expert judiciaire face à TrueCrypt : http://zythom.blogspot.fr/2015/03/face-truecrypt.html
    Le billet a été publié le 31/03/2015
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  5. #35
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Je connais. Il a tout un tas d'histoires très intéressantes à propos des cas qu'il a rencontrés dans son métier.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  6. #36
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Citation Envoyé par JPL Voir le message
    La clé de chiffrage
    Je me corrige : la clé de chiffrement
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  7. #37
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Je vous signale un petit outil que je trouve très utile pour les clés USB, accessoire qui se perd ou s'oublie avec une facilité dérisoire : Rohos Mini Drive. Il utilise AES, formate toute la clé comme conteneur crypté, sauf un petit bout qui reste lisible et qui contient le pilote de lecture du conteneur. Il suffit juste de donner le mot de passe.

    Ce n'est certainement pas aussi robuste que TrueCrypt mais c'est largement suffisant pour un usage domestique. Avantage : la clé est lisible sur n'importe quel ordinateur sans avoir à y installer le programme. Seule limite : ne fonctionne qu'avec Windows.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  8. #38
    Franz Dur

    Re : N'utilisez plus TrueCrypt!

    Citation Envoyé par JPL Voir le message
    Je vous signale un petit outil que je trouve très utile pour les clés USB, accessoire qui se perd ou s'oublie avec une facilité dérisoire : Rohos Mini Drive. Il utilise AES, formate toute la clé comme conteneur crypté, sauf un petit bout qui reste lisible et qui contient le pilote de lecture du conteneur. Il suffit juste de donner le mot de passe.

    Ce n'est certainement pas aussi robuste que TrueCrypt mais c'est largement suffisant pour un usage domestique. Avantage : la clé est lisible sur n'importe quel ordinateur sans avoir à y installer le programme. Seule limite : ne fonctionne qu'avec Windows.
    Merci pour l'info, Rohos Mini Drive est impec. Par contre il vaut mieux le télécharger depuis http://www.rohos.com/products/rohos-mini-drive/ on obtient la version 2.1 plus récente que celle téléchargée de Rohos.fr qui ne s'installe pas sur mon win7 64 bits. On peut choisir le français lors de l'installation.

    La version libre est limitée à la création de conteneurs 8 GB, ce qui est déjà pas mal.

    Francis

  9. #39
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Merci pour l'information.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  10. #40
    yoda1234

    Re : N'utilisez plus TrueCrypt!

    Bonjour,

    pour ceux qui utilisent Veracrypt à la place de Truecrypt, une mise à jour récente de Veracrypt est fortement conseillée : http://www.itworld.com/article/29874...ompromise.html

    https://veracrypt.codeplex.com/wikip...elease%20Notes

    1.15 (September 26th, 2015):

    Windows:
    Fix two TrueCrypt vulnerabilities reported by James Forshaw (Google Project
    Zero)
    CVE-2015-7358 (critical): Local Elevation of Privilege on Windows by
    abusing drive letter handling.
    CVE-2015-7359: Local Elevation of Privilege on Windows caused by
    incorrect Impersonation Token Handling.
    Fix regression in mounting of favorite volumes at user logon.
    Fix display of some Unicode languages (e.g. Chinese) in formatting wizard.
    Set keyboard focus to PIM field when "Use PIM" is checked.
    Allow Application key to open context menu on drive letters list
    Support specifying volumes size in TB in the GUI (command line already supports this)
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  11. #41
    yoda1234

    Re : Faut-il abandonner TrueCrypt ? (nouveau titre)

    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  12. #42
    JPL
    Responsable des forums

    Re : N'utilisez plus TrueCrypt!

    Merci pour l'info parce que si Mounir Idrassi fait un boulot remarquable sur le code sa page de téléchargement (https://veracrypt.codeplex.com/wikipage?title=Downloads) n'est pas toujours à jour et pour moi la version 1.15 était toujours en bêta. Je viens de faire la mise à jour.

    L'amélioration la plus géniale a été la possibilité pour l'utilisateur de choisir dans certaines limites le nombre d'itérations de la fonction de hachage (voir PIM dans la doc), ce qui rend illusoire toute tentative d'attaque par force brute d'un conteneur crypté. Ce nombre se présente un peu comme un deuxième mot de passe (en fait c'est plus subtil que ce que je dis comme méthode de renforcement de la sécurité).
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

Page 2 sur 2 PremièrePremière 2

Discussions similaires

  1. Faut-il abandonner SUSY? SuperSymmetrie/Theorie des Corde en crise?
    Par invitedaba4692 dans le forum Discussions scientifiques
    Réponses: 125
    Dernier message: 26/09/2011, 13h34
Découvrez nos comparatifs produits sur l'informatique et les technologies.