L'outil de chiffrement de disque VeraCrypt vient tout juste de passer en version 1.18. Cette édition apporte principalement le support du chiffrement sur les ordinateurs et tablettes équipés d'un UEFI. Un audit du logiciel a par ailleurs commencé hier.

VeraCrypt vient de franchir une étape importante. Le logiciel de chiffrement de disques (durs et SSD) passe en version 1.18 avec de nouveaux algorithmes, mais surtout le chiffrement sur les terminaux en UEFI, une fonction prioritaire pour ses développeurs.

Le chiffrement en UEFI, des mois de travail

« C'est un jalon très important » nous explique Mounir Idrassi, qui développe presque seul le logiciel. « Sur les nouveaux PC, il n'y a plus le standard MBR du BIOS classique. C'est de l'UEFI, que TrueCrypt ne supporte pas en principe » poursuit-il. Ce support a demandé plusieurs mois de travail, avec le soutien du développeur russe Alex Kolotnikov. Plusieurs testeurs bêta ont pu confirmer que le chiffrement fonctionnait sur de nouveaux appareils, comme la Surface Pro 4.

VeraCrypt est né en 2013, quelques mois avant l'arrêt brutal du développement de TrueCrypt début 2014. Un événement qui a largement contribué au succès du fork, qui compte quelques centaines de milliers d'utilisateurs, même si peu de développeurs contribuent directement au projet. Le soutien d'Alex Kolotnikov sur l'UEFI a été le plus important reçu par le projet depuis sa création, estime Mounir Idrassi.

Cette version corrige d'ailleurs un bogue de TrueCrypt qui permettait de détecter des conteneurs cachés (hidden volumes). Contrairement à CipherShed, l'autre fork répandu de TrueCrypt – qui vise principalement à conserver TrueCrypt tel qu'il était – VeraCrypt a pris le parti de le faire évoluer. Il s'appuie sur la base laissée par l'ancienne équipe, TrueCrypt 7.1a.

De nouveaux algorithmes japonais et russes

Pour Mounir Idrassi, l'objectif du moment est de constituer une communauté autour de son logiciel, avec pour principal levier la confiance. C'est entre autres pour cela que VeraCrypt 1.18 intègre des algorithmes de chiffrement supplémentaires, que l'utilisateur peut choisir d'utiliser à la place du classique AES et des autres outils occidentaux déjà en place (Serpent et TwoFish).

L'algorithme japonais Camellia fait ainsi son entrée, avec ses homologues russes Kuznyechik (avec Streebog pour le hashage) et Magma (connu comme GOST-89). Même si ce dernier est ancien, « il a été ajouté sous une forme robuste modifiée et adaptée aux chiffrement de disques. Malgré son âge, Magma fait toujours partie de la dernière version du standard GOST R 34.12-2015 datant de décembre 2015 » assure Idrassi.

L'intégration d'algorithmes venus d'autres pays doit améliorer la confiance dans le logiciel. « Cela permet de sortir un peu des algorithmes d'Europe occidentale et des États-Unis, pour aller vers un schéma plus global » estime-t-il. Il rappelle également qu'AES, qui reste le choix par défaut dans VeraCrypt, n'est pas la solution la plus sûre, mais est aujourd'hui privilégié pour sa vitesse et son intégration matérielle répandue.

Suspicions d'intrusion autour d'un audit

La date de la publication de cette nouvelle version, plusieurs mois après la précédente, n'est pas anodine. C'était avant-hier que devait débuter un audit du logiciel par les Français de QuarksLab, commanditée par l'association américaine OSTIF, via un financement de DuckDuckGo.

Il a finalement débuté hier, sur la base du code de la version 1.18 mise en ligne à ce moment. Cela même si la version finale est bien apparue au téléchargement ce matin. « J'espère qu'ils ne vont rien trouver de grave. Mais cela permettra surtout de donner confiance aux utilisateurs, et j'espère répandre son usage » commente son principal développeur.

Cet audit important a suscité quelques tensions du côté de l'OSTIF et de QuarksLab. Le 13 août, l'association annonçait que quatre emails chiffrés échangés avec QuarksLab ont tout simplement disparu des deux côtés. Le plus étrange étant qu'ils venaient d'expéditeurs différents. L'OSTIF indique utiliser Google Apps pour entreprises, sans préciser si cela a joué un rôle dans ces disparitions. Les protagonistes ont donc mis en place des moyens de communication alternatifs pour l'audit.

« Si des États-nations sont intéressés par ce que nous faisons, nous devons faire quelque chose de bien. Non ? » ironise l'association. Mounir Idrassi nous explique que l'épisode a seulement causé un léger retard pour certaines questions, sans plus, même s'il considère que c'est « du jamais vu ! ».