| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue86:securite [2014/12/27 07:25] – d52fr | issue86:securite [2014/12/27 07:50] (Version actuelle) – d52fr |
|---|
| True Crypt | True Crypt |
| |
| L'autre événement dont je voudrais parler est l'audit de TrueCrypt, qui a récemment publié des résultats préliminaires. Vous vous rappelez sans doute que, à la suite des révélations d'Edward Snowden, il y avait une anxiété généralisée au sujet de la sécurité du chiffrement et les gens voulaient savoir si leur chiffrement avait été affaibli ou si la NSA, le GCHQ ou autres agences gouvernementales y avait inséré une porte dérobée. Pour ce qui concerne TrueCrypt, vous avez à nouveau un projet Open Source, mais, dans ce cas, les développeurs, basés en Europe de l'Est, ont fait exprès de garder l'anonymat. Avant Snowden, cela n'aurait peut-être pas généré trop de spéculation, mais, après Snowden, les gens voulaient des réponses. La TrueCrypt Foundation a agi comme il le fallait. Ils ont collecté des fonds (j'ai contribué lors d'une campagne de financement participatif) et ont engagé le docteur Matthew Green, un expert en cryptographie très respecté et un enseignant à l'Université Johns Hopkins, pour qu'il rassemble une équipe devant auditer le code. C'est une tâche difficile qui prend beaucoup de temps, mais la première phase est terminé et, alors qu'ils ont critiqué certaines erreurs de négligence, ils n'ont trouvé aucune indication d'erreurs intentionnelles. Vous pouvez en lire un bon compte rendu à novainfosec.com et cet article contient un lien vers le vrai rapport si vous voulez le lire. Cette première phase a examiné les implémentations du bootloader et du pilote du noyau Windows. Une deuxième phase doit avoir lieu, pour évaluer la cryptographie même ; l'équipe de chercheurs sera entièrement nouvelle. | L'autre événement dont je voudrais parler est l'audit de TrueCrypt, qui a récemment publié des résultats préliminaires. Vous vous rappelez sans doute que, à la suite des révélations d'Edward Snowden, il y avait une anxiété généralisée au sujet de la sécurité du chiffrement et les gens voulaient savoir si leur chiffrement avait été affaibli ou si la NSA, le GCHQ ou autres agences gouvernementales y avait inséré une porte dérobée. Pour ce qui concerne TrueCrypt, vous avez à nouveau un projet Open Source, mais, dans ce cas, les développeurs, basés en Europe de l'Est, ont fait exprès de garder l'anonymat. Avant Snowden, cela n'aurait peut-être pas généré trop de spéculation, mais, après Snowden, les gens voulaient des réponses. La TrueCrypt Foundation a agi comme il le fallait. Ils ont collecté des fonds (j'ai contribué lors d'une campagne de financement participatif) et ont engagé le docteur Matthew Green, un expert en cryptographie très respecté et un enseignant à l'Université Johns Hopkins, pour qu'il rassemble une équipe devant auditer le code. C'est une tâche difficile qui prend beaucoup de temps, mais la première phase est terminée et, alors qu'ils ont critiqué certaines erreurs de négligence, ils n'ont trouvé aucune indication d'erreurs intentionnelles. Vous pouvez en lire un bon compte rendu à novainfosec.com et cet article contient un lien vers le vrai rapport si vous voulez le lire. Cette première phase a examiné les implémentations du bootloader et du pilote du noyau Windows. Une deuxième phase doit avoir lieu, pour évaluer la cryptographie même ; l'équipe de chercheurs sera entièrement nouvelle. |
| |
| Bon. Quels en étaient les résultats ? TrueCrypt n'est pas parfait, mais s'attendre à sa perfection aurait été de toute façon irréaliste. L'équipe d'audit a bien trouvé des instances assez nombreuses de négligence, dues, sans doute, au fait que le projet soit créé par des bénévoles et ait connu une croissance organique. Mais, lors de la phase 1, l'équipe d'audit n'a trouvé aucun élément suggérant qu'il y ait des problèmes délibérés ou des « portes dérobées » dans le code. C'est une bonne nouvelle, puisque c'est l'un des principaux programmes Open Source à proposer un chiffrement sérieux. Si vous voulez chiffrer un répertoire, un disque ou un ordinateur entier, vous pouvez le faire avec TrueCrypt et, jusqu'à présent, il n'y a pas d'indications d'une compromission du chiffrement (bien qu'il y ait des choses qu'ils peuvent faire pour renforcer le code). Bien entendu, cependant, nous devrions attendre la phase 2 de l'audit avant de les déclarer en « bonne santé ». | Bon. Quels en étaient les résultats ? TrueCrypt n'est pas parfait, mais s'attendre à sa perfection aurait été de toute façon irréaliste. L'équipe d'audit a bien trouvé des instances assez nombreuses de négligence, dues, sans doute, au fait que le projet soit créé par des bénévoles et ait connu une croissance organique. Mais, lors de la phase 1, l'équipe d'audit n'a trouvé aucun élément suggérant qu'il y ait des problèmes délibérés ou des « portes dérobées » dans le code. C'est une bonne nouvelle, puisque c'est l'un des principaux programmes Open Source à proposer un chiffrement sérieux. Si vous voulez chiffrer un répertoire, un disque ou un ordinateur entier, vous pouvez le faire avec TrueCrypt et, jusqu'à présent, il n'y a pas d'indications d'une compromission du chiffrement (bien qu'il y ait des choses qu'ils peuvent faire pour renforcer le code). Bien entendu, cependant, nous devrions attendre la phase 2 de l'audit avant de les déclarer en « bonne santé ». |
| Des leçons apprises | Des leçons apprises |
| |
| Ces programmes sont importants à l'Internet, alors où était le soutien ? Cela démontre un problème fondamental : des entreprises traitent l'Open Source comme si c'était totalement gratuit. Ça ne l'est pas, car, comme vous devriez le savoir, « There Ain't No Such Thing As A Free Lunch (TANSTAAFL) » (Rien n'est jamais gratuit). L'Open Source n'est en fait rien d'autre qu'un autre modèle pour le développement et le soutien de logiciels, qui dépend de la participation de toutes les parties concernées. Si toutes ces entreprises comptaient sur OpenSSL, notamment, où était leur participation ? Il semblerait que pas mal d'entre elles se sont réveillées après coup. La Linux Foundation a créé un consortium de sociétés majeures. Voici une citation tirée d'un article dans Ars Technica ((http://arstechnica.com/information-technology/2014/04/tech-giants-chastened-by-heartbleed-finally-agree-to-fund-openssl/) à ce propos : « "Amazon Web Services, Cisco, Dell, Faceboork, Fujitsu, Google, IBM, Intel Microsoft, NetApp, Qualcomm, Rackspace et VMware ont tous promis de fournir au moins 100 000 $ par an pendant au moins trois ans, au Core Infrastructure Initiative " Jim Zemlin, directeur exécutif de la Linux Foundation, annonça a Ars. » Cette initiative ciblera plus que OpenSSL, mais c'est très bien. Cela signifie que ces sociétés prennent au sérieux leur responsabilité de soutenir le code dont ils dépendent. Cela contraste fortement avec l'idée quelque peu ridicule de Theo de Raadt de créer une branche (« a fork ») appelée LibreSSL. Cela sent davantage l'égo qu'une idée constructive. Je resterai avec OpenSSL et oublierai LibreSSL jusqu'à ce qu'ils puissent démontrer de nombreuses années de succès. Une bonne règle générale dans le domaine de la sécurité est que du code nouveau est plus dangereux que du code qui existe depuis un certain temps. | Ces programmes sont importants à l'Internet, alors où était le soutien ? Cela démontre un problème fondamental : des entreprises traitent l'Open Source comme si c'était totalement gratuit. Ça ne l'est pas, car, comme vous devriez le savoir, « There Ain't No Such Thing As A Free Lunch (TANSTAAFL) » (Rien n'est jamais gratuit). L'Open Source n'est en fait rien d'autre qu'un autre modèle pour le développement et le soutien de logiciels, qui dépend de la participation de toutes les parties concernées. Si toutes ces entreprises comptaient sur OpenSSL, notamment, où était leur participation ? Il semblerait que pas mal d'entre elles se sont réveillées après coup. La Linux Foundation a créé un consortium de sociétés majeures. Voici une citation tirée d'un article dans Ars Technica ((http://arstechnica.com/information-technology/2014/04/tech-giants-chastened-by-heartbleed-finally-agree-to-fund-openssl/) à ce propos : « Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel Microsoft, NetApp, Qualcomm, Rackspace et VMware ont tous promis de fournir au moins 100 000 $ par an pendant au moins trois ans, au "Core Infrastructure Initiative" annonça Jim Zemlin, directeur exécutif de la Linux Foundation, à Ars. » Cette initiative ciblera plus que OpenSSL, mais c'est très bien. Cela signifie que ces sociétés prennent au sérieux leur responsabilité de soutenir le code dont ils dépendent. Cela contraste fortement avec l'idée quelque peu ridicule de Theo de Raadt de créer une branche (« a fork ») appelée LibreSSL. Cela sent davantage l'égo qu'une idée constructive. Je resterai avec OpenSSL et oublierai LibreSSL jusqu'à ce qu'ils puissent démontrer de nombreuses années de succès. Une bonne règle générale dans le domaine de la sécurité est que du code nouveau est plus dangereux que du code qui existe depuis un certain temps. |
| |
| ===== 5 ===== | ===== 5 ===== |
| Fixing this requires money, among other things. One of the key take-aways regarding the OpenSSL project is that they were on what I called a “shoestring” budget, where on average they received $2,000 per year in donations. Contrast this with the cost of the TrueCrypt audit, where they appear to have raised about $60,000 so far, and I doubt that is any too much. They put together a team of professionals who understand the work, and that can go through $60,000 in no time. I always tell people they need to support Free Software, and that includes financial support. If you are only interested in what you can get for free, you will get these kinds of results because the resources will not be there.** | Fixing this requires money, among other things. One of the key take-aways regarding the OpenSSL project is that they were on what I called a “shoestring” budget, where on average they received $2,000 per year in donations. Contrast this with the cost of the TrueCrypt audit, where they appear to have raised about $60,000 so far, and I doubt that is any too much. They put together a team of professionals who understand the work, and that can go through $60,000 in no time. I always tell people they need to support Free Software, and that includes financial support. If you are only interested in what you can get for free, you will get these kinds of results because the resources will not be there.** |
| |
| La sécurité est ardue et nécessite un autre ensemble de compétences que le développement standard. Dr. Segglemann est un mec intelligent qui essayait d'implémenter une exigence dans un RFC. Le code qu'il a écrit l'a en fait réalisé. C'était évalué par d'autres de l'équipe OpenSSL, ils n'ont pas vu de problèmes et l'ont passé à la production. Il y était pendant deux ans avant que quelqu'un décèle un problème potentiel. La raison pour laquelle de nombreuses personnes intelligentes n'ont rien vu, est que faire de la sécurité exige d'autres compétences. Avec le recul, il est facile de dire qu'ils auraient dû faire appel à un spécialiste, et je pense que Core Infrastructure Initiative aidera dans ce domaine. | La sécurité est ardue et nécessite un autre ensemble de compétences que le développement standard. Dr. Segglemann est un mec intelligent qui essayait d'implémenter une exigence dans un RFC. Le code qu'il a écrit l'a en fait réalisé. C'était évalué par d'autres de l'équipe OpenSSL, ils n'ont pas vu de problèmes et l'ont passé en production. Il y était depuis deux ans avant que quelqu'un décèle un problème potentiel. La raison pour laquelle de nombreuses personnes intelligentes n'ont rien vu, est que faire de la sécurité exige d'autres compétences. Avec le recul, il est facile de dire qu'ils auraient dû faire appel à un spécialiste, et je pense que le Core Infrastructure Initiative aidera dans ce domaine. |
| |
| Les bugs ne sont pas superficiels, si les paires d'yeux n'existent pas. Les deux, TrueCrypt et OpenSSL, avaient de petits groupes de développeurs avec des ressources limitées. Tous les autres ont simplement supposé que le code était bien et n'ont jamais essayé de le regarder. Étant donné que la Securité nécessite un ensemble de compétences spécialisées, rajouter des paires d'yeux ne suffit pas ; elles doivent être des yeux qui savent voir. Cela m'amène à me poser des questions concernant la gouvernance de projets Open Source critiques. On a peut-être besoin que le processus soit un peu plus structuré pour pouvoir éviter ce genre de problèmes. | Les bugs ne sont pas superficiels, si les paires d'yeux n'existent pas. Les deux, TrueCrypt et OpenSSL, avaient de petits groupes de développeurs avec des ressources limitées. Tous les autres ont simplement supposé que le code était bien et n'ont jamais essayé de le regarder. Étant donné que la Securité nécessite un ensemble de compétences spécialisées, rajouter des paires d'yeux ne suffit pas ; elles doivent être des yeux qui savent voir. Cela m'amène à me poser des questions concernant la gouvernance de projets Open Source critiques. On a peut-être besoin que le processus soit un peu plus structuré pour pouvoir éviter ce genre de problèmes. |
| |
| Corriger ceci nécessite de l'argent, entre autres choses. Voici un des points essentiels à retenir concernant le projet OpenSSL : ils avaient un budget //a minima//, où, en moyenne, ils recevaient 2 000 $ par an en dons. Ceci est à comparer avec le coût de l'audit TrueCrypt, où ils semblent avoir recueilli environ 60 000 $ jusqu'à présent et je pense que ce n'est pas assez. Ils ont créé une équipe de professionnels qui comprennent le travail et qui peuvent dépenser 60 000 $ en un rien de temps. Je dis toujours qu'il faudrait soutenir les Logiciels Libres et cela comprend un soutien financier. Si tout ce qui vous intéresse est ce que vous pouvez avoir gratuitement, vous aurez ce genre de résultats, car les ressource nécessaires n'y seront pas. | Corriger ceci nécessite de l'argent, entre autres choses. Voici un des points essentiels à retenir concernant le projet OpenSSL : ils avaient un maigre budget, où, en moyenne, ils recevaient 2 000 $ par an en dons. Ceci est à comparer avec le coût de l'audit TrueCrypt, où ils semblent avoir recueilli environ 60 000 $ jusqu'à présent et je pense que ce n'est pas assez. Ils ont créé une équipe de professionnels qui comprennent le travail et qui peuvent dépenser 60 000 $ en un rien de temps. Je dis toujours qu'il faudrait soutenir les Logiciels Libres et cela comprend un soutien financier. Si tout ce qui vous intéresse est ce que vous pouvez avoir gratuitement, vous aurez ce genre de résultats, car les ressource nécessaires n'y seront pas. |
| |
| |
| |
| Addendum | Addendum |
| //Le statut de TruCrypt ?// | Etat actuel de TrueCrypt ? |
| le 10 juin 2014, | le 10 juin 2014, |
| par Michael Kennedy | par Michael Kennedy |
| • Est-ce que le/un gouvernement ou la NSA, etc. était derrière TC à l'origine et est-ce que cela allait être révélé ? | • Est-ce que le/un gouvernement ou la NSA, etc. était derrière TC à l'origine et est-ce que cela allait être révélé ? |
| |
| • Les développeurs ont-ils tout simplement abandonné TC ? Malheureux ? Ont-ils été payés pour partir ? Des portes dérobées/des hackeurs furent-ils révélés ? | • Les développeurs ont-ils tout simplement abandonné TC ? Insatisfaits ? Ont-ils été payés pour partir ? Des portes dérobées/des hackeurs furent-ils révélés ? |
| |
| • Cette liste continue... | • Cette liste continue... |
