VeraCrypt
VeraCrypt est un logiciel utilitaire sous licence libre utilisé pour le chiffrement à la volée (OTFE). Il est développé par la société française IDRIX[1] et permet de créer un disque virtuel chiffré dans un fichier ou une partition. L'ensemble du dispositif de stockage demande une authentification avant de monter le disque virtuel.
Développé par | IDRIX |
---|---|
Première version | 1.0d () |
Dernière version | 1.25.9 () |
DĂ©pĂ´t | https://www.veracrypt.fr/code/ |
État du projet | Actif |
Écrit en | C++, C et assembleur |
Interface | WxWidgets |
Système d'exploitation | Microsoft Windows, macOS et Linux |
Langues | Multilingue |
Type | utilitaire de chiffrement de fichier ou de partition |
Politique de distribution | Contribution libre et don |
Licence | Apache v2.0 et collective TrueCrypt v3.1 |
Documentation | https://veracrypt.fr/en/Documentation.html |
Site web | https://veracrypt.fr/ |
En France, le logiciel est intégré à la liste des logiciels libres préconisés par l’État dans le cadre de la modernisation globale de ses systèmes d’informations (S.I.).[2]
VeraCrypt est un fork qui a été initialement publié le pour faire suite au projet TrueCrypt interrompu subitement quelques mois plus tard. Selon ses développeurs, des suspicions sur l'origine de plusieurs failles de sécurité ont été soulevées à la suite d’un audit du code source de TrueCrypt. Elles ont donné lieu à des améliorations de sécurité mises en œuvre dès la version 1.17 de VeraCrypt[3]. La dernière version est actuellement la 1.25.9, publiée le 19 février 2022.
Système de chiffrement
Algorithmes
Les systèmes de chiffrements supportés par VeraCrypt sont AES, Camellia, Kuznyechik (en), Serpent et Twofish. En outre, cinq combinaisons différentes de chiffrements en cascades sont possibles : AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES et Twofish-Serpent. Les fonctions de hachage cryptographique disponibles pour une utilisation dans VeraCrypt sont RipeMD-160, SHA-256, SHA-512, Streebog et Whirlpool.
Modes de fonctionnement
VeraCrypt utilise le mode d'opération XTS.
Amélioration de la sécurité
Selon ses développeurs, VeraCrypt a apporté plusieurs améliorations de sécurité par rapport à TrueCrypt.
Alors que TrueCrypt utilise 1 000 itérations avec l'algorithme PBKDF2 et un hachage RIPEMD-160 pour les partitions système, VeraCrypt utilise 327 661 itérations. Pour les conteneurs standards et d'autres partitions, VeraCrypt utilise 655 331 itérations avec RIPEMD160 et 500 000 itérations avec SHA-2 et Whirlpool. Même si cela rend VeraCrypt plus lent à l'ouverture des partitions chiffrées, cela rend également les attaques basées sur la découverte du mot de passe plus lentes.
Diverses optimisations ont été faites pour la version Windows dont la correction d'une vulnérabilité dans le chargeur d'amorçage. Sous ce système d'exploitation les développeurs ont aussi intégré le hachage SHA-256 avec l'option de chiffrement au démarrage et ont également corrigé le problème de sécurité avec la fonction ShellExecute. Les utilisateurs des systèmes Linux et Mac OS X bénéficient d'un support pour les disques durs avec des tailles de secteur supérieur à 512 octets. La version Linux a également bénéficié d'une mise à jour pour supporter le formatage des volumes NTFS.
En raison des améliorations de sécurité, le format de stockage VeraCrypt est incompatible avec celui de TrueCrypt. L'équipe de développement du projet VeraCrypt estime que l'ancien format TrueCrypt est trop vulnérable à une attaque de la NSA et il doit donc être abandonné. Ceci est l'une des principales différences entre VeraCrypt et son concurrent CipherShed (en), car ce dernier continue d'utiliser le format TrueCrypt. Cependant, à partir de la version 1.0f, VeraCrypt est capable d'ouvrir et de convertir des volumes dans le format TrueCrypt.
Audit
En , dans le but de rechercher d’éventuelles vulnérabilités et portes dérobées, l’association OSTIF utilise les fonds que leur ont alloués DuckDuckGo et VikingVPN pour faire auditer le code de la version 1.18 de VeraCrypt par Quarkslab[4].
Le , l’OSTIF déclare que les courriels chiffrés échangés entre l’OSTIF, Quarkslab et le développeur principal de VeraCrypt sont interceptés[5] - [6], quatre de leurs courriels n’étant pas arrivés à destination et ayant mystérieusement disparu de leurs boites d’envois.
Le , les résultats de cet audit sont rendus publics, révélant huit failles critiques, trois modérées et quinze mineures[7] - [8] ; la version 1.19 de VeraCrypt, corrigeant la grande majorité de ces failles, est publiée le même jour.
En 2020 L'office général allemand pour la sécurité informatique commandite un audit de sécurité auprès de l'institut Fraunhofer. Le rapport est publié en décembre 2020[9].
DĂ©ni plausible
Tout comme son prédécesseur, VeraCrypt supporte le déni plausible, en permettant à un volume chiffré « à cacher » d’être créé dans un autre volume chiffré. En outre, les versions Windows de VeraCrypt ont la capacité de créer et d'exécuter un système d'exploitation chiffré caché dont on peut nier l'existence. La documentation de VeraCrypt répertorie les nombreuses caractéristiques de ce logiciel ainsi que les méthodes qui pourraient compromettre l’existence d'un volume chiffré, caché par le déni plausible, mais aussi les moyens possibles pour éviter la révélation du volume caché. Par exemple avec un logiciel tiers qui peut trahir l'existence de fichiers temporaires (vignettes d'images, raccourcis, etc.) conservés sur les disques non chiffrées liés au volume caché.
Problèmes de sécurité
VeraCrypt est vulnérable à diverses attaques connues qui affectent également d'autres logiciels de chiffrement de disque basé sur ce type de logiciel tels que BitLocker. Pour atténuer ces attaques, la documentation distribuée avec VeraCrypt incite les utilisateurs à suivre diverses précautions de sécurité. Certaines de ces attaques sont détaillées ci-dessous.
Par ailleurs, la sécurité de VeraCrypt peut être questionnée lorsque celui-ci fonctionne sur des systèmes d'exploitation fermés (ClosedSource) comme Windows ou Mac OS. En effet, VeraCrypt utilise les ressources logicielles du système d'exploitation (comme tout logiciel fonctionnant sur ce système d'exploitation) et, en cas de ClosedSource, la sécurité de ces ressources logicielles ne peut être évaluée.
Clés de chiffrement stockées en mémoire
VeraCrypt stocke ses clés en mémoire vive ; sur un ordinateur personnel ordinaire, la DRAM maintient son contenu pendant plusieurs secondes même après coupure et mise sous tension (ou plus longtemps à basse température). Même s'il y a une dégradation certaine des informations mémorisées, divers algorithmes peuvent intelligemment récupérer les clés. Cette méthode, connue sous le nom « d'attaque par démarrage à froid » a été utilisée avec succès pour forcer un système de fichiers protégés avec TrueCrypt (obtenu en particulier avec un ordinateur portable après mise sous tension, mise en veille ou en mode verrouillé).
Notes et références
- Serge Leblal, « VeraCrypt, une alternative française à TrueCrypt », sur lemondeinformatique.fr, Le Monde informatique, (consulté le )
- « Socle Interministériel de Logiciels Libres », sur Socle Interministériel de Logiciels Libres (consulté le )
- Julien Lausson, « VeraCrypt 1.17 : nouvelle version de l’outil de chiffrement de disque », sur numerama.com, Numerama, (consulté le )
- (en) « We Have Come to an Agreement to Get VeraCrypt Audited », sur ostif.org, (consulté le )
- Guénaël Pépin, « VeraCrypt 1.18 apporte le chiffrement UEFI, son audit sous tension », sur www.nextinpact.com, (consulté le )
- (en) « OSTIF, QuarksLab, and VeraCrypt E-mails are Being Intercepted », sur ostif.org, (consulté le )
- Guénaël Pépin, « VeraCrypt : un audit révèle plusieurs failles critiques, la version 1.19 en corrige la plupart », sur www.nextinpact.com, (consulté le )
- (en) « The VeraCrypt Audit Results », sur ostif.org, (consulté le )
- « VeraCrypt / Forums / General Discussion: Germany BSI Security Evaluation of VeraCrypt », sur sourceforge.net (consulté le )
Annexes
Lien externe
Page d'accueil du projet VeraCrypt (cette page du site des initiateurs du fork depuis TrueCrypt, www.idrix.fr, , atteste qu'il s'agit bien de la page d'accueil du projet et que les versions les plus récentes sont également disponibles sur SourceForge, ) (parité des 2 sites constatée 2019-12-21)
Entretien en français de Mounir Idrassi (développeur principal du projet)