Ce qui suit est une traduction libre de l'entretien d'un des développeurs du logiciel TrueCrypt, Ennead, par WolfManz611. C'était le samedi 10 septembre 2005.

Entetien rare avec Ennead, un des développeurs de TrueCrypt

WolfManz611 : Quel est ton rôle au sein du projet TrueCrypt ?
Ennead : J'ai 29 ans et plusieurs casquettes dans ce projet : administrateur, développeur et designer. Je suis aussi responsable de la documentation et du site web.

WolfManz611 : Combien de temps as-tu passé sur le projet pour en arriver au stade où il est, et combien de développeurs travaillent dessus ?
Ennead : Actuellement, il y a deux développeurs principaux (aussi administrateurs) qui travaillent sur TrueCrypt. Quant à savoir combien de temps nous avons passé sur sur le projet, je dirais beaucoup. Nous avons l'habitude de faire une courte pause après chaque version majeure (à moins qu'il y ait un bogue majeur qui requiert d'être résolu immédiatement) puis commençons à travailler sur la prochaine version. Une partie considérable de notre temps est consacrée à ce projet.

WolfManz611 : À quels types d'utilisateurs ce programme est-il destiné ?
Ennead : C'est une bonne question. Nous essayons constamment d'équilibrer les choses. D'un côté, vous avez les utilisateurs inexpérimentés qui requièrent une prise en main facilitée au maximum, et de l'autre, vous avez les power users qui, quelques fois, demandent des fonctionnalités vraiment obscures, ce qui peut effrayer le communs des mortels. Ce que nous essayons de faire, c'est de trouver le bon compromis qui satisfasse les deux partis.

En outre, il existe des problèmes mono-utilisateur (maison) vs. multi-utilisateurs (société) . Par exemple, les sociétés nous demandent d'implémenter des "portes dérobées" [NdT : backdoors] dans le cas où un employé oublie son mot de passe, etc. À cet égard, notre logiciel s'adresse plus à des utilisateurs individuels. Malgré cela, d'après les courriels que nous recevons, nous savons qu'il y a beaucoup de sociétés et d'organismes gouvernementaux qui utilisent TrueCrypt.

WolfManz611 : Est-ce que ce programme prend quelconque contre-mesure pour déjouer les keyloggers ?
Ennead : Actuellement, TrueCrypt n'offre aucune protection active contre les logiciels malveillants. Nous pensons que c'est le rôle du logiciel anti-virus. Pour les keyloggers, la meilleure solution pour les contrer est l'utilisation des fichiers de clef [NdT : keyfiles]. Nous avons déjà implémenté le support des fichiers de clef et une nouvelle version devrait voir le jour d'ici peu.

WolfManz611 : Pour donner une idée : en assumant que l'utilisateur ait un mot de passe de 20 caractères aléatoires, à quel point le chiffrement est-il bon en utilisant le type de chiffrement par défaut ? Combien de temps prendrait une tentative de cassage du chiffrement en utilisant une pièce remplie d'ordinateurs haut de gamme ?
Ennead : Je n'ai pas la réponse précise mais je peux donner une estimation. 20 caractères choisis aléatoirement équivaut, en gros, à une clef 128 bit. Disons q'un ordinateur haut de gamme soit capable de tester 100 mots de passes TrueCrypt par seconde. Si nous liions 10 000 ordinateurs de ce même type ensemble, nous pourrions tester 1 000 000 mots de passe par seconde. Par conséquent, il faudrait 5 395 141 535 403 007 094 485 264 années, en moyenne, pour trouver le mot de passe.

Notez que l'estimation ci-dessus n'est valable que si le mot de passe est vraiment aléatoire. S'il s'agit de mots trouvés dans un dictionnaire, noms d'animaux de compagnie, dates d'anniversaire, numéros de téléphone et ainsi de suite, ça pourrait prendre moins de temps pour trouver le mot de passe (l'attaque par force brute peut être optimisée). Il est très important de choisir un bon mot de passe.

WolfManz611 : J'ai remarqué que tu peux enregistrer les mots de passe dans le pilote mémoire. Pourquoi les enregistrer là par opposition à la mémoire normale ?
Ennead : Une des raisons est qu'il fallait permettre la mise en cache du mot de passe même quand l'application TrueCrypt se ferme. Le pilote est indépendant de l'application TrueCrypt.

WolfManz611 : Après un redémarrage ou la mise hors tension de l'ordinateur, le mot de passe dans le pilote mémoire est-il retenu ?
Ennead : Non, le pilote TrueCrypt est arrêté en même temps que Windows.

WolfManz611 : Penses-tu que plus de programmes actuels, comme les clients de messagerie électronique et similaires, devraient utiliser une sorte de chiffrement sur leurs paramètres et tous les messages qu'ils gèrent ?
Ennead : Oui, bien sûr. De plus en plus de personnes commencent à comprendre que leur vie privée [NdT : vie intime] est quelque chose qu'ils devraient protéger. Si votre client de messagerie ne supporte pas le chiffrement, il devrait au moins vous permettre de le configurer de telle sorte que tous les fichiers sensibles sur lesquels vous travaillez soient stockés dans un volume TrueCrypt (c-à-d chiffrés à la volée).

WolfManz611 : Quel est le minimum requis pour que ton programme fonctionne correctement ?
Ennead : Je ne pense pas que TrueCrypt soit très exigeant à cet égard. Il requiert seulement quelques mégaoctets de mémoire vive et environ un mégaoctet d'espace disque.

WolfManz611 : Avec la recrudescence des vols de données personnelles, ne penses-tu pas que la majorité des gens devrait utiliser un programme comme TrueCrypt afin de tenir les voleurs éloignés ?
Ennead : Eh bien, si le système d'exploitation est infecté, TrueCrypt n'empêchera pas les voleurs d'accéder aux données si un volume TrueCrypt est monté. L'utilisation d'un anti-virus décent est définitivement recommandée.

WolfManz611 : Travaillez-vous sur une version Linux et, si oui, où est-ce que ça en est ? Sera t-elle équivalente à celle de Windows ou meilleure ?
Ennead : Oui, pendant que je travaille sur la version Windows, Syncon fini le travail de la version Linux. Elle était en phase alpha pendant plusieurs semaines et semble très stable.

Initialement, les deux versions ne seront pas égales. Par exemple, il n'y aura pas de GUI pour la version Linux. Cependant, dans un futur proche, les deux versions devraient être équivalentes.

WolfManz611 : Quelle est la cote de popularité du programme et, à ton avis, combien de personnes l'utiltisent ou l'ont téléchargé ?
Ennead : D'après les statistiques de SourceForge.net et des log du serveur, à peu près un quart de million de personnes ont téléchargé TrueCrypt 3.1a. Il y a aussi beaucoup d'entités, comme le magazine Chip, qui hébergent nos fichiers sur leurs serveurs, ce qui rend l'estimation impossible.

WolfManz611 : Dans quel langage de programmation est-il codé ?
Ennead : Le code source est entièrement écrit en C, hormis les routines de l'algorithme de chiffrement Serpent, qui est en assembleur. Vu que notre objectif est de rendre le code multi-plateforme, nous prévoyons de remplacer le code assembleur par du C.

WolfManz611 : Prévoyez-vous d'implémanter de grosses fonctionnalités et, si oui, quelles sont-elles ?
Ennead : Oui, c'est prévu. Mais ça ne serait plus une surprise si je te le disais !

WolfManz611 : Quelle est la problématique du fichier d'échange de Windows pour ce genre de programme ? Est-ce que le fichier d'échange de Windows entre en jeu seulement pour écrire un fichier dans le volume chiffré ou compromet-il les fichiers même lors de la lecture de ceux-ci depuis un volume chiffré ?
Ennead : Chaque fois que vous ouvrez un fichier stocké sur un volume TrueCrypt dans un programme (par exemple, dans un éditeur de texte), une partie du fichier est déchiffré dans la RAM et transmise au programme qui les a demandées. TrueCrypt utilise une réserve [NdT : pool] non-paginée pour stocker les mots de passe en cache, les clefs de chiffrement, IVs et autres données sensibles relatives au volume, donc ces données ne peuvent pas être divulguées au fichiers de pagination. Cependant, TrueCrypt ne peux prévenir l'accès au contenu déchiffré des fichiers sensibles ouverts en mémoire. Par conséquent, nous recommandons fortement aux utilisateurs de désactiver le fichier d'échange 1 , au moins pour chaque session durant laquelle ils travaillent avec des données sensibles.

WolfManz611 : Prévois-tu de faire d'autres projets qui impliquent le chiffrement, comme un module de client de messagerie facile à utiliser ?
Ennead : En ce qui concerne le logiciel de chiffrement, nous allons probablement rester avec le modèle de chiffrement de disque à la volée, que nous considérons comme le plus efficace.

WolfManz611 : Que fait SourceForge.net pour votre programme ? Est-ce qu'il vous donne une bonne exposition et plein de téléchargements ?
Ennead : Eh bien, j'estime qu'environ 5% des utilisateurs de TrueCrypt l'ont découvert via SourceForge.net. Globalement, les services de SourceForge sont bons, mais il y a des choses qui peuvent être améliorées. Par exemple, la sécurité des services web et les performances des serveurs MySQL sont les raisons pour lesquelles nous avons décidé de migrer le site et les forums sur notre propre serveur dédié.


1 -- Désactiver le fichier de pagination sous Windows. Pour GNU/Linux :

# usage : swapoff partition
sudo swapoff /dev/sda1