Wannacrypt et Windows XP

[Enthalpy]

Bonjour tout le monde !

Wannacrypt, alias Wannacry, WanaCrypt0r 2.0, Wanna Decryptor, n'est pas votre ami. C'est un pourriciel de rançon. Très exceptionnellement, Microsoft a publié une rustine pour Windows XP, pourtant plus entretenu.

Malheureusement, le site de Microsoft fonctionne mal si on le visite avec Windows XP : apparemment, il faut au moins Seven. Depuis un Windows XP français (ou autre langue que l'anglais), on peut obtenir la rustine pour XP "custom" anglais des USA, ou pour XP "embedded" français, et aucune des deux ne s'installe naturellement sur un banal XP français.

Voici l'adresse de chargement direct pour XP français chez Microsoft :
http://download.windowsupdate.com/d/...07304d87f5.exe

Et pour (toutes ?) les traductions :
http://download.windowsupdate.com/d/...99d2e42945.exe
http://download.windowsupdate.com/d/...1677f36775.exe
http://download.windowsupdate.com/d/...0f7abb7d6a.exe
http://download.windowsupdate.com/d/...2ca946136f.exe
http://download.windowsupdate.com/d/...541290970a.exe
http://download.windowsupdate.com/d/...4295b6a45c.exe
http://download.windowsupdate.com/d/...d7bf1b6476.exe
http://download.windowsupdate.com/d/...14fa6ee9dd.exe
http://download.windowsupdate.com/d/...69239fa4c3.exe
http://download.windowsupdate.com/d/...4571dbc4a7.exe
http://download.windowsupdate.com/d/...07304d87f5.exe
http://download.windowsupdate.com/d/...59ed2b796e.exe
http://download.windowsupdate.com/d/...0374dea7c6.exe
http://download.windowsupdate.com/d/...a15e0a2852.exe
http://download.windowsupdate.com/d/...06bc7c5658.exe
http://download.windowsupdate.com/d/...1846ac90c5.exe
http://download.windowsupdate.com/d/...c8ace46003.exe
http://download.windowsupdate.com/d/...1fb3af2a74.exe
http://download.windowsupdate.com/d/...63539c010e.exe
http://download.windowsupdate.com/d/...19bfd1c127.exe
http://download.windowsupdate.com/d/...ab93b8b950.exe
http://download.windowsupdate.com/d/...2312f50077.exe
http://download.windowsupdate.com/d/...8fe8bc36c4.exe
http://download.windowsupdate.com/d/...687f412a72.exe
je vous prie de vérifier leur signature avant usage.

La faille de Windows exploitée par Wannacrypt était "connue" de la NSA depuis des années et publiée par un groupe souterrain il y a quelques mois. Un blog chez Microsoft émet une opinion tranchée :
https://blogs.microsoft.com/on-the-i...dx9v28odlazvph
en substance :

"il serait temps que les agences gouvernementales arrêtassent de garder des failles de logiciel sous le bras, parce que cela affaiblit tout le monde".

Il n'a pas écrit "introduites par la NSA" ni "sur ordre de la NSA". Mais on a le droit de le comprendre, et de ne pas se limiter à la NSA.

Allez, patchez tout cela, sortez couverts, et bonne continuation !
-----

[chantal11]

Bonjour,

Il serait surtout très urgent de migrer vers un système plus récent !

XP et Vista sont des systèmes obsolètes, vulnérables, qui ne doivent pas être utilisés sur internet, ce seront toujours les premiers ciblés par les malwares.

Il faut donc impérativement migrer vers un système plus récent ou vers une distribution libre GNU/Linux.

@+

[SK69202]

Il serait surtout très urgent de migrer vers un système plus récent !

Obéissant directement à la loi américaine "Patriot Act" et sa contrainte sur les systèmes d'exploitation, alors qu'XP n'y obéit pas, d'où le silence des administrations au sujet des points d'entrées discrets.

XP et Vista sont des systèmes obsolètes, vulnérables, qui ne doivent pas être utilisés sur internet, ce seront toujours les premiers ciblés par les malwares.

L'intérêt de développer un truc spécifique pour un système obsolète de moins en moins utilisé par les cibles potentielles, histoire de les attaquer, reste à démontrer.

[trebor]

Bonjour à tous,

Aura t-on un jour le nom de celui qui a lancé ce virus sur la toile ?

Étonnant quand même que des hôpitaux ainsi que des entreprises utilisent encore XP en liaison avec internet ♪♫

Chez nous en Belgique, j'ai entendu dire à la radio qu'il y aurait eu 200.000 victimes.

Bonne journée à tous

[A voir en vidéo sur Futura]

[chantal11]

Re,

L'intérêt de développer un truc spécifique pour un système obsolète de moins en moins utilisé par les cibles potentielles, histoire de les attaquer, reste à démontrer.

Les malwares ne sont pas spécifiquement développés pour XP ou Vista, les malwares sont développés pour exploiter des failles de sécurité.
Et justement, XP et Vista sont des systèmes obsolètes, qui ne sont plus mis à jour, avec des failles de sécurité non colmatées .......


Pour info, cette attaque Wannacrypt ne concerne pas Windows 10
https://blogs.technet.microsoft.com/...-date-systems/

The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

@+

[trebor]

Bonjour chantal11,

Donc W7,8 qui ne sont pas mis à jour pourrait être infecté ?

Ouf pour W10, mais pour combien de temps encore, car le jour ou il sera atteint, les conséquences seront biens plus graves.

[Amanuensis]

Et justement, XP et Vista sont des systèmes obsolètes, qui ne sont plus mis à jour, avec des failles de sécurité non colmatées .......

Curieusement, comme l'indique ce fil même, on a un exemple de faille de sécurité affectant des systèmes "obsolètes" qui est maintenant colmatée. On peut se poser la question des arguments qui ont fait que Microsoft a choisi en avril de colmater la faille sur des OS récents mais pas sur XP et vista, comparé aux arguments qui ont fait que Microsoft colmate maintenant la faille sur ces systèmes, montrant ainsi que c'était possible de le faire.

Deux approches semblent moins contradictoires: soit on dit haut et clair que ces systèmes sont obsolètes, qu'ils sont exposés à des attaques très nuisibles, et que MS ne fera pas le moindre effort pour ces systèmes, et alors MS n'aurait pas publié le correctif récent ; soit on admet que le risque est suffisamment important et MS s'engage à proposer les correctifs à temps pour les systèmes anciens, i.e., en avril avec les correctifs pour les plus récents, plutôt que maintenant après l'attaque.

Si je lis bien ce qu'en disent les médias, la fuite du code de virus a eu lieu en mars, sa nocivité potentielle était parfaitement connue, et MS a publié ASAP les correctifs pour les systèmes "maintenus". Pas pour les autres.

Dans un autre contexte, on appellerait une telle attitude "non assistance de personnes en danger".

[jacknicklaus]

La situation est d'ailleurs un peu plus confuse encore : les systèmes obsolètes peuvent bénéficier de contrats dit "d'extension de support" proposés par Microsoft. A titre (très) onéreux. Ce type de contrat existant pour la NHS Britannique, ... ,jusqu'à 2015 où le gouvernement y a mis fin, pour économies budgétaires.

[Amanuensis]

Pour continuer, l'idée que XP soit "obsolète" est intéressante. "obsolète" signifie "qui n'est plus en usage", et les effets de l'attaque de ces jours derniers montrent que XP n'est certainement pas obsolète à ce sens.

Est-ce qu'une 2 CV citroën est "obsolète"? Je ne sais pas, mais cela semble rarement présenté comme cela. Vétuste oui, obsolète, non. Une 2CV, mise à jour pour respecter l'évolution de la législation, rend parfaitement un certain service, et peut être utilisée. Que citroën ne construisent plus de 2CV , qu'ils ne la "maintiennent" pas, ne suffit pas à la classer les 2CV comme obsolètes.

La "course en avant", la succession effrénée de systèmes chez MS, a un intérêt certain pour MS, mais un mélange d'intérêts et d'inconvénients pour les utilisateurs. Pour une partie de ces derniers XP n'est pas obsolète même si vétuste, pas plus qu'une 2CV. C'est MS qui non seulement le présentent comme obsolète mais cherchent à ce qu'il le devienne effectivement, pour des raisons économiques ne prenant que l'intérêt de MS en compte. Et on a présentement un exemple du côté nocif de cette politique.

Je réagis parce que je n'apprécie pas trop que le "blâme" soit mis sur les utilisateurs ; ceux-ci sont victimes à deux titres et pris sans nécessité dans un dilemme, d'une part la pression de MS cherchant à les forcer à abandonner, à grands coûts, des systèmes qui marchent correctement, qui rendent le services attendus, et d'autre part des malveillants exploitant les failles dont MS ne veut pas s'occuper. (Et dans l'histoire "oublions" le rôle de la NSA dans la genèse du virus, ou le patriot act, qui sont au contraire du côté des "bienveillants", n'est-ce pas?)

Alors, accabler les utilisateurs victimes parce qu'ils utiliseraient des systèmes "obsolètes" est quelque peu de mauvais goût.

[trebor]

J'ai encore XP sur un pc de bureau, mais qui n'est plus sur internet et cela uniquement afin de pouvoir encore utiliser mon scanner et mon imprimante.

Jeter des appareils qui fonctionnent encore n'est pas ma vision de l'écologie.

Car si M.S évolue, certains périphériques ne fonctionnent plus, car ils n'ont plus de pilote compatible.

je comprends que pour une grosse entreprise que cela un coût certain pour adapter leurs périphériques aux nouveaux pc.

Je vais voir si mon imprimante et mon scanner fonctionnent encore sur mon nouveau pc W10, mais je ne me fait pas trop d’illusion, je serais obligé de garder mon XP

C'est comme pour la 2 cv, qu'il n'y aurait plus d'essence pour la faire fonctionner ou les anciens moteurs Diesel plus de gasoil pour eux ouf il y en a encore.

[Amanuensis]

Sinon, j'ai une question très pratique:

Est-ce qu'un PC sous XP (non patché) agissant comme client dans le protocole SMBv1 peut être infecté s'il entre dans une relation client serveur avec un serveur infecté mais fonctionnant (apparemment) normalement?

[SK69202]

Si je lis bien ce qu'en disent les médias, la fuite du code de virus a eu lieu en mars, sa nocivité potentielle était parfaitement connue, et MS a publié ASAP les correctifs pour les systèmes "maintenus". Pas pour les autres.

C'est ce que je venais dire et d'accord avec ce qui est écrit par ailleurs.

Cela veut aussi dire que les nouveaux systèmes d'exploitation ne sont que les anciens avec des bouts en plus, parfois en moins pour s'adapter aux évolutions techniques. Bref, il y a sans doute d'autres brèches des vieilles parties du code qui attendent leur tour.

je comprends que pour une grosse entreprise que cela un coût certain pour adapter leurs périphériques aux nouveaux pc.

Il peut même y avoir d'autres contraintes qui font exploser les coûts, une machine dangereuse (chimie, risque humain etc) peut ne plus être "certifiée" si on en change le support informatique de son contrôle commande, à moins d'une nouvelle certification pas gratuite....

[BioBen]

Sinon, j'ai une question très pratique:

Est-ce qu'un PC sous XP (non patché) agissant comme client dans le protocole SMBv1 peut être infecté s'il entre dans une relation client serveur avec un serveur infecté mais fonctionnant (apparemment) normalement?

C'est en fait bien plus facile que ça : le client n'a rien à faire.
Il suffit pour un hacker de faire un gros scan IP sur le port 445 et de détecter l'OS et le niveau de mise à jour ('OS discovery', par exemple en utilisant Nmap). SMB1 étant actif par défaut, dès qu'on détecte une ip qui a une version vulnérable, la vulnérabilité est utilisable sans que le client ne fasse rien.

Si tu as un ordinateur sous XP dont tu connais l'IP c'est faisable chez toi en quelques minutes avec les bons outils.

En soi l'attaque WannaCry est très simple et le payload très simpliste (par exemple avec la kill switch apparente).
Ca fait beaucoup de bruit principalement parce que le NHS a été impacté.

[Amanuensis]

Thanks!

C'est à se demander pourquoi cela n'a pas été trouvé et exploité plus tôt. C'est une faille béante depuis quand? 16 ans?

[BioBen]

Les vulnérabilités de SMB sont connues depuis longtemps.
Par exemple si tu regardes cette vidéo https://www.youtube.com/watch?v=U9F-V5O3mDg (qui date de 2014), tu vois comment prendre le contrôle d'un PC sous XP en quelques secondes en utilisant une des vulnérabilités de SMB.

C'est l'exploit Eternal Blue (qui exploite une vulnérabilité de SMB) qui est nouveau.
Nouvel exploit qui touche des OS très vieux => pas de MAJ pour cet OS => tout un parc de PC vulnérable à rançonner.

En clair rien de complexe ou de spectaculaire, juste une belle opportunité.

C'est une faille béante depuis quand? 16 ans?

Tu sais ça arrive aussi chez Linux des failles pendant 10+ années, la question c'est combien de temps pour la patcher, et si les gens appliquent le correctif.

[SK69202]

Nouvel exploit qui touche des OS très vieux => pas de MAJ pour cet OS => tout un parc de PC vulnérable à rançonner.

L'hystérie américaine actuelle aurait-elle poussé MS à se faire doublement de l'argent, par les rançons et par les changement d'OS ?

[JPL]

Humour ou conspirationnisme ?

[pm42]

Humour ou conspirationnisme ?

Qu'en termes galants ces chose là sont dites.

C'est à se demander pourquoi cela n'a pas été trouvé et exploité plus tôt. C'est une faille béante depuis quand? 16 ans?

Cela a été trouvé et exploité depuis longtemps mais par la NSA.
Puis certains de leurs documents sont devenus publics ce qui commence à devenir assez régulier avec eux. Ce qui a donné de nouveaux outils aux pirates qui n'ont pas les moyens de cette énorme institution pour trouver les failles.

Et cela a apparemment donné des idées à des pirates. Cette attitude de la NSA qui consiste à exploiter les failles au lieu d'aider les éditeurs, même américains à les corriger est d'ailleurs l'objet de critiques de plus en plus virulentes.

https://en.wikipedia.org/wiki/WannaC...somware_attack

Il y avait déjà eu la même chose avec un acteur étatique qui pour espionner un dissident utilisait un outil basé sur 3 failles inconnues d'iOS, ce qui coûte très cher sur le marché : https://blog.lookout.com/trident-pegasus
Les failles pointues sont difficiles à trouver pour un hacker mais à la portée des services spécialisés.

[SK69202]

MS a depuis longtemps trouvé la méthode pour rançonner légalement les possesseurs d'ordinateur, il n'y a pas de complot.

[Enthalpy]

Bonjour,

Il serait surtout très urgent de migrer vers un système plus récent !

XP et Vista sont des systèmes obsolètes, vulnérables, qui ne doivent pas être utilisés sur internet, ce seront toujours les premiers ciblés par les malwares.

Il faut donc impérativement migrer vers un système plus récent ou vers une distribution libre GNU/Linux.

@+

Bonjour Chantal11 et tout le monde!

Il est patent, au moins à mes yeux, que les "failles" de sûreté sont introduites volontairement dans les logiciels, par les agences étatiques ou sur leur ordre. Prenez l'exemple des serveurs https (Apache, de mémoire) : quelqu'un avait ajouté un commentaire dans la fonction tirant les clefs de chiffrement pseudo-aléatoire, ce qui réduisait à 65536 le nombre de clefs possibles au lieu de milliards de milliards, permettant le décryptage.
- Cette "faille" était évidente. Si, comme je l'imagine (à tort ?), les logiciels sont relus par un tiers avant d'être publiés, il fallait des complicités.
- La NSA s'était vantée de pouvoir lire les connexions https, d'après les documents de Snowden. Sont-ils les auteurs de la faille ?

Cette exploitation des failles montre que la cryptographie bien programmée fonctionne, et que les agences étatiques doivent chercher d'autres modes d'attaque. C'est pour cela que leurs complices diffusent de fausses croyances comme "il suffit d'un gros ordinateur pour décrypter", affaiblissent le cryptage des liaisons téléphoniques et Wifi, et diffusent des fonctions de cryptographie mal écrites, par exemple pour le mode CTR d'AES.

Nous venons de voir, avec Wannacrypt, qu'une agence étatique met en péril des centaines de milliers d'ordinateurs dans son pays et ses alliés (même dans les hôpitaux) juste pour le plaisir de fouiller l'ordinateur des autres - des ennemis ou des citoyens, chacun a son opinion là-dessus. Même si une agence n'a pas introduit ou fait introduire la faille dans Windows, la NSA connaissait cette faille depuis un lustre. Un président de Microsoft appelle en termes délicats à revoir ces comportements.

Même si le logiciel libre m'est extrêmement sympathique et précieux, cette faille des clefs pour protocole https était dans un Linux open source, tout comme la catastrophique faille Heartbleed. Elle est restée pendant une décennie. "Open source" ne signifie donc pas que chacun peut vérifier le logiciel, mais que les autres auraient dû le faire.

Si je le pouvais simplement, j'utiliserais Windows 2000, sans toutes ces faiblesses introduites à partir d'XP : assistance à distance, rapports d'erreur, connexion chez Microsoft... dont certaines sont difficiles à neutraliser. J'ai bien tenté Seven, mais il me crispe encore plus qu'XP, sans oublier que de nombreux matériels et applicatifs précieux ne fonctionnent pas sur un Win 64bits (Hachette-Oxford, la nouvelle version coûte dans les 300€).

Sur le fond, je refuse de croire qu'un système d'exploitation récent est plus sûr qu'un vieux. Non seulement de nouvelles failles sont introduites volontairement, mais en plus certaines arrivent par erreur - il suffit de voir la douzaine de mises à jour des "kernel mode drivers" quand Microsoft a réécrit les pilotes USB en passant à XP. Sur un système d'exploitation plus ancien, plus de failles sont déjà corrigées.

Soyez prudents, surtout avec les courriels, car deux nouvelles attaques exploitant la faille se sont répandues hier.
Bonne journée à tous !

[trebor]

Bonjour à tous,
C'est pas très rassurant ce que tu dis Enthalpy, moi qui me sentait plus en sécurité avec mon W10 tout neuf ♪♫

Mais une bonne et une mauvaise nouvelle, mon ancienne imprimante HP Deskjet 940C de 17 ans fonctionne avec W10
Mon scanner HP 4400C néni, je dois encore garder mon XP.
Bonne journée à tous

[Kissagogo27]

han je suis sous XP , han j'ai pas d'antivirus, han la version 'enu' du patch ne s'installait pas ! han en fait c'était impossible de choisir la langue FR et télécharger le bon patch ..
en effet , on est pas aidé sous XP

quel serait l'intérêt de mettre un W10 sur ma vieille machine ? bof, déjà que depuis l'abandon de Flash 9 , ça rame avec ma vieille radeon 9500 a base de R300 j'ai vu la lecture des vidéos flash se dégrader au fur a mesure des mises a jour de flash .. alors que curieusement, avec Flash 9 , ça tourne nickel, avec un SWF en local, puisque que n'importe quel site sait très bien me dire que si je reste sous Flash 9 ... ben je ne peux rien regarder sans mettre a jour avec une version 'moins optimisée' pour ' des raisons de sécurité ' ..

l'abandon des anciens codes optimisés est une logique normale pour pouvoir évoluer, sinon ça fait gonfler le fichier d'install pour une minorité de systèmes .. et oblige a maintenir des équipes de développement pour une faible part de marché .

XP sert aussi a des applications "embeded" , et lui est toujours maintenu jusqu'en 2019 .

[Enthalpy]

Ô Kissagogo27, tu as donc vu le lien direct vers la rustine XP française, en première page de cette discussion :
http://download.windowsupdate.com/d/...07304d87f5.exe

Oui, les logiciels sont de toujours plus lents dans les versions postérieures, sans que je n'y voie une cause avouable, et c'est une excellente raison pour garder les anciennes versions.

Ciao !

[BioBen]

La "course en avant", la succession effrénée de systèmes chez MS, a un intérêt certain pour MS, mais un mélange d'intérêts et d'inconvénients pour les utilisateurs. Pour une partie de ces derniers XP n'est pas obsolète même si vétuste, pas plus qu'une 2CV. C'est MS qui non seulement le présentent comme obsolète mais cherchent à ce qu'il le devienne effectivement, pour des raisons économiques ne prenant que l'intérêt de MS en compte. Et on a présentement un exemple du côté nocif de cette politique.

Pour nuancer un peu (pas spécialement pour défendre Windows que je ne porte par spécialement dans mon coeur), toutes les distributions de tous les OS ont un cycle de vie, Windows, Mac ou Linux.

Pour Windows par exemple c'est de l'ordre de 8-10 ans :
https://support.microsoft.com/fr-fr/...cle-fact-sheet

Pour Ubuntu (distrib Linux "grand public"), c'est 5 ans :
https://wiki.ubuntu.com/Releases

L'environnement autour de l'OS évolue tellement qu'il devient difficile de continuer à fournir un support en terme de compatibilité et de sécurité au bout de quelques années sans que ça se fasse au détriment de la stabilité du système (pour faire un simple). Certaines failles ne peuvent donc tout simplement plus être corrigées. C'est la différence entre un simple patch et une mise à jour du noyau.

Il y a des distributions sous Linux en développement continu, mais c'est au détriment de la stabilité (elles sont destinées à des utilisateurs avancés et déconseillées pour des usages de type "particulier", "professionnel" ou de "production").

[Amanuensis]

Pour nuancer un peu (pas spécialement pour défendre Windows que je ne porte par spécialement dans mon coeur), toutes les distributions de tous les OS ont un cycle de vie, Windows, Mac ou Linux.

Des exemples de "reine rouge", il y en a plein.

La difficulté est de déterminer s'ils sont souhaitables ou juste inévitables.

[BioBen]

Des exemples de "reine rouge", il y en a plein.

La difficulté est de déterminer s'ils sont souhaitables ou juste inévitables.

Pour du grand public, je ne vois pas comment faire autrement pour garantir une stabilité suffisante que de faire un freeze à un instant T.

Pour utilisateurs avancés des distributions à développement continu existent mais avec le risque inhérent (qui s'est quand même fortement réduit par rapport à il y a 10/15 ans grâce au progrès des processus d'intégration continue -git, travis/jenkins,... ).

[Merlin95]

C'est une grande critique des logiciels propriétaires faite par les développeurs de logiciels libres. Les logiciels propriétaires privent les utilisateurs de leur liberté fondamentale de propriété. Pour faire un parallèle, c'est comme si on interdisait à un propriétaire d'une voiture, d'aller sous la voiture ne serait-ce que pour voir et toucher afin de comprendre comment la voiture fonctionne et effectuer des modifications suivant son vouloir. C'est une liberté dont il ne viendrait à l'esprit de personne de contester, pourtant avec les logiciels propriétaires c'est ce qu'il se passe. Une conséquence pratique de cela c'est que l'on ne peut pas faire ce que l'on veut de son système comme le faire évoluer suivant ses besoins, ses envies découlant de sa propre liberté. C'est là où les logiciels libres se différencient, on peut regarder sous le capot, car le logiciel est vraiment à son utilisateur, il peut en faire ce qu'il veut (à la condition que si c'est redistribué, l'auteur de la correction obéisse à la même "transparence"). Même si en pratique c'est peu le cas, rien empêche ainsi à un utilisateur à se pencher sur ce qu'il utilise afin de continuer à le faire vivre ou autre. A mon avis, les logiciels propriétaires privent bien en théorie leur utilisateur d'une partie de leur liberté, mais en pratique compte tenu de la complexité de l'informatique, ca revient au même ou à peu près, ce qui a pour conséquence d'entretenir une situation "anormale".

[BioBen]

Les logiciels propriétaires privent les utilisateurs de leur liberté fondamentale de propriété.

Absolument pas, le logiciel est concédé sous licence et non vendu, donc ça ne prive en rien l'utilisateur de sa "liberté fondamentale de propriété" puisqu'il n'en est pas propriétaire.

[JPL]

C'est l'argument de principe bateau des pro-libres (c'est un choix respectable et j'en utilise) pour partir en guerre contre les logiciels propriétaires. L'expérience est que si on excepte une pincée d'informaticiens spécialisés, les gens utilisent les logiciels libres exactement comme les logiciels propriétaires, c'est-à-dire dans la plupart des cas en exploitant quelques % de leurs possibilités.

Quant à l'argument que le code est public et que chacun peut vérifier s'il ne contient pas de backdoors, failles, ou malwares c'est totalement bidon : combien de temps s'est-il passé avant qu'on découvre la faille fatale Heartbleed dans OpenSSL, alors que c'est un élément clé de la sécurisation de milliers de sites ? Ou encore combien d'années avant qu'on découvre au terme d'un audit approfondi que le célèbre programme de chiffrement incassable Truecrypt contenait, non pas des failles certes, mais quelques défauts susceptibles d'affaiblir le chiffrement ?

Les codes sont tellement complexes qu'on peut se demander combien les regardent, et parmi ceux-ci combien sont capables de les analyser. Ce sont donc des arguments dont le principe est exact mais qui s'écroulent devant la réalité.

[Merlin95]

(Le prix n'a rien à voir avec les considérations que j'ai évoqué (aucun principe du logiciel libre dit qu'un logiciel libre ne peut être vendu)).

@JPL, même si en pratique les conséquences sont minimes, le point relevé est selon moi une réponse de bon sens relevant de la logique dans la relation entre un produit et son utilisateur appliquées au domaine du logiciel, et qu'il est bon de l'avoir en tête comme base quand on se pose de telles questions.