VeraCrypt

VeraCrypt est un logiciel utilitaire sous licence libre utilisé pour le chiffrement à la volée (OTFE). Il est développé par la société française IDRIX[1] et permet de créer un disque virtuel chiffré dans un fichier ou une partition. L'ensemble du dispositif de stockage demande une authentification avant de monter le disque virtuel.

VeraCrypt

Deux fenêtres VeraCrypt 1.0f sous Windows.

Informations
Développé par	IDRIX
Première version	22 juin 2013
Dernière version	1.24-Update2 (16 décembre 2019)
Dépôt	www.veracrypt.fr/code/VeraCrypt
État du projet	en développement actif
Écrit en	C++, assembleur et C
Interface	WxWidgets
Système d'exploitation	Microsoft Windows, macOS et Linux
Langues	Multilingue
Type	utilitaire de chiffrement de fichier ou de partition
Politique de distribution	Contribution libre et don
Licence	Apache v2.0 et collective TrueCrypt v3.1
Site web	www.veracrypt.fr

En France, le logiciel est intégré à la liste des logiciels libres préconisés par l’État dans le cadre de la modernisation globale de ses systèmes d’informations (S.I.).[2]

VeraCrypt est un fork qui a été initialement publié le 22 juin 2013 pour faire suite au projet TrueCrypt interrompu subitement quelques mois plus tard. Selon ses développeurs, des suspicions sur l'origine de plusieurs failles de sécurité ont été soulevées à la suite d’un audit du code source de TrueCrypt. Elles ont donné lieu à des améliorations de sécurité mises en œuvre dès la version 1.17 de VeraCrypt[3]. La version 1.24 (update 7 ) a été publiée le 7 août 2020.

Système de chiffrement

Algorithmes

Les systèmes de chiffrements supportés par VeraCrypt sont AES, Camellia, Kuznyechik (en), Serpent et Twofish. En outre, cinq combinaisons différentes de chiffrements en cascades sont possibles : AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES et Twofish-Serpent. Les fonctions de hachage cryptographique disponibles pour une utilisation dans VeraCrypt sont RipeMD-160, SHA-256, SHA-512, Streebog et Whirlpool.

Modes de fonctionnement

VeraCrypt utilise le mode d'opération XTS.

Clés

La clé d'en-tête et la clé d'en-tête secondaire (mode XTS) sont générées en utilisant PBKDF2 avec un salage en 512 bit et de 327 661 à 655 331 itérations, en fonction de la fonction de hachage sous-jacente utilisée.

Amélioration de la sécurité

Selon ses développeurs, VeraCrypt a apporté plusieurs améliorations de sécurité par rapport à TrueCrypt.

Alors que TrueCrypt utilise 1 000 itérations avec l'algorithme PBKDF2 et un hachage RIPEMD-160 pour les partitions système, VeraCrypt utilise 327 661 itérations. Pour les conteneurs standards et d'autres partitions, VeraCrypt utilise 655 331 itérations avec RIPEMD160 et 500 000 itérations avec SHA-2 et Whirlpool. Même si cela rend VeraCrypt plus lent à l'ouverture des partitions chiffrées, cela rend également les attaques basées sur la découverte du mot de passe plus lentes.

Diverses optimisations ont été faites pour la version Windows dont la correction d'une vulnérabilité dans le chargeur d'amorçage. Sous ce système d'exploitation les développeurs ont aussi intégré le hachage SHA-256 avec l'option de chiffrement au démarrage et ont également corrigé le problème de sécurité avec la fonction ShellExecute. Les utilisateurs des systèmes Linux et Mac OS X bénéficient d'un support pour les disques durs avec des tailles de secteur supérieur à 512 octets. La version Linux a également bénéficié d'une mise à jour pour supporter le formatage des volumes NTFS.

En raison des améliorations de sécurité, le format de stockage VeraCrypt est incompatible avec celui de TrueCrypt. L'équipe de développement du projet VeraCrypt estime que l'ancien format TrueCrypt est trop vulnérable à une attaque de la NSA et il doit donc être abandonné^{[réf. nécessaire]}. Ceci est l'une des principales différences entre VeraCrypt et son concurrent CipherShed (en), car ce dernier continue d'utiliser le format TrueCrypt. Cependant, à partir de la version 1.0f, VeraCrypt est capable d'ouvrir et de convertir des volumes dans le format TrueCrypt.

Audit

En 2016, dans le but de rechercher d’éventuelles vulnérabilités et portes dérobées, l’association OSTIF utilise les fonds que leur ont alloués DuckDuckGo et VikingVPN pour faire auditer le code de la version 1.18 de VeraCrypt par Quarkslab[4].

Le 13 août 2016, l’OSTIF déclare que les courriels chiffrés échangés entre l’OSTIF, Quarkslab et le développeur principal de VeraCrypt sont interceptés[5]^,[6], quatre de leurs courriels n’étant pas arrivés à destination et ayant mystérieusement disparu de leurs boites d’envois.

Le 17 octobre 2016, les résultats de cet audit sont rendus publics, révélant huit failles critiques, trois modérées et quinze mineures[7]^,[8] ; la version 1.19 de VeraCrypt, corrigeant la grande majorité de ces failles, est publiée le même jour.

Déni plausible

Tout comme son prédécesseur, VeraCrypt supporte le déni plausible, en permettant à un volume chiffré « à cacher » d’être créé dans un autre volume chiffré. En outre, les versions Windows de VeraCrypt ont la capacité de créer et d'exécuter un système d'exploitation chiffré caché dont on peut nier l'existence. La documentation de VeraCrypt répertorie les nombreuses caractéristiques de ce logiciel ainsi que les méthodes qui pourraient compromettre l’existence d'un volume chiffré, caché par le déni plausible, mais aussi les moyens possibles pour éviter la révélation du volume caché. Par exemple: avec un logiciel tiers qui peut trahir l'existence de fichiers temporaires (vignettes d'images, raccourcis, etc.) conservés sur les disques non chiffrées liés au volume caché.

Problèmes de sécurité

VeraCrypt est vulnérable à diverses attaques connues qui affectent également d'autres logiciels de chiffrement de disque basé sur ce type de logiciel tels que BitLocker^{[réf. souhaitée]}. Pour atténuer ces attaques, la documentation distribuée avec VeraCrypt incite les utilisateurs à suivre diverses précautions de sécurité. Certaines de ces attaques sont détaillées ci-dessous.

Par ailleurs, la sécurité de VeraCrypt peut être questionnée lorsque celui-ci fonctionne sur des systèmes d'exploitation fermés (ClosedSource) comme Windows ou Mac OS. En effet, VeraCrypt utilise les ressources logicielles du système d'exploitation (comme tout logiciel fonctionnant sur ce système d'exploitation) et, en cas de ClosedSource, la sécurité de ces ressources logicielles ne peut être évaluée.

Clés de chiffrement stockées en mémoire

VeraCrypt stocke ses clés en mémoire vive ; sur un ordinateur personnel ordinaire, la DRAM maintient son contenu pendant plusieurs secondes même après coupure et mise sous tension (ou plus longtemps à basse température). Même s'il y a une dégradation certaine des informations mémorisées, divers algorithmes peuvent intelligemment récupérer les clés. Cette méthode, connue sous le nom « d'attaque par démarrage à froid » a été utilisée avec succès pour forcer un système de fichiers protégés avec TrueCrypt (obtenu en particulier avec un ordinateur portable après mise sous tension, mise en veille ou en mode verrouillé)^{[réf. souhaitée]}.

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « VeraCrypt » (voir la liste des auteurs).

Serge Leblal, « VeraCrypt, une alternative française à TrueCrypt », sur lemondeinformatique.fr, Le Monde informatique, 10 juin 2014 (consulté le 19 février 2016)
« Socle Interministériel de Logiciels Libres », sur Socle Interministériel de Logiciels Libres (consulté le 7 juin 2021)
Julien Lausson, « VeraCrypt 1.17 : nouvelle version de l’outil de chiffrement de disque », sur numerama.com, Numerama, 15 février 2016 (consulté le 19 février 2016)
(en) « We Have Come to an Agreement to Get VeraCrypt Audited », sur ostif.org, 2016 (consulté le 30 juin 2017)
Guénaël Pépin, « VeraCrypt 1.18 apporte le chiffrement UEFI, son audit sous tension », sur www.nextinpact.com, 2016 (consulté le 30 juin 2017)
(en) « OSTIF, QuarksLab, and VeraCrypt E-mails are Being Intercepted », sur ostif.org, 2016 (consulté le 30 juin 2017)
Guénaël Pépin, « VeraCrypt : un audit révèle plusieurs failles critiques, la version 1.19 en corrige la plupart », sur www.nextinpact.com, 2016 (consulté le 30 juin 2017)
(en) « The VeraCrypt Audit Results », sur ostif.org, 2016 (consulté le 30 juin 2017)

Annexes

Lien externe

Page d'accueil du projet VeraCrypt (cette page du site des initiateurs du fork depuis TrueCrypt, www.idrix.fr, , atteste qu'il s'agit bien de la page d'accueil du projet et que les versions les plus récentes sont également disponibles sur SourceForge, ) (parité des 2 sites constatée 2019-12-21)
Entretien en français de Mounir Idrassi (développeur principal du projet)

Portail des logiciels libres
Portail de la sécurité informatique
Portail de la cryptologie

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] Serge Leblal, « VeraCrypt, une alternative française à TrueCrypt », sur lemondeinformatique.fr, Le Monde informatique, 10 juin 2014 (consulté le 19 février 2016)

[2] « Socle Interministériel de Logiciels Libres », sur Socle Interministériel de Logiciels Libres (consulté le 7 juin 2021)

[3] Julien Lausson, « VeraCrypt 1.17 : nouvelle version de l’outil de chiffrement de disque », sur numerama.com, Numerama, 15 février 2016 (consulté le 19 février 2016)

[4] (en) « We Have Come to an Agreement to Get VeraCrypt Audited », sur ostif.org, 2016 (consulté le 30 juin 2017)

[5] Guénaël Pépin, « VeraCrypt 1.18 apporte le chiffrement UEFI, son audit sous tension », sur www.nextinpact.com, 2016 (consulté le 30 juin 2017)

[6] (en) « OSTIF, QuarksLab, and VeraCrypt E-mails are Being Intercepted », sur ostif.org, 2016 (consulté le 30 juin 2017)

[7] Guénaël Pépin, « VeraCrypt : un audit révèle plusieurs failles critiques, la version 1.19 en corrige la plupart », sur www.nextinpact.com, 2016 (consulté le 30 juin 2017)

[8] (en) « The VeraCrypt Audit Results », sur ostif.org, 2016 (consulté le 30 juin 2017)