Reprise du message précédent :

 
mon ssd est mon disque système (1 partition, C:\, Crucial M4) absolument rien à signaler lors du process de chiffrement.

Comment fonctionne le TRIM qd le SSD est completement crypté?
Edit: http://www.truecrypt.org/docs/trim-operation

Si mon déplorable anglais me fait correctement comprendre, TC est compatible avec le trim.
Dans le sens où les cellules sont bien vidées et marquées comme disponibles.
Mais cela fait baisser la sécurité et affecte le déni plausible.
 
C'est bon à savoir.
Donc pas d'usure sur les SSD trim.
 
Comprenez-vous la même chose ?

http://truecrypt.org qui recommande de passer à bitackdoorlocker
Hack j'espère
http://arstechnica.com/security/20 [...] tly-warns/

Promis, spa moi
 
 
Je suis partagé, c'est assez violent "truecrypt is not secure" en rouge et tout et ça laisse forcément penser à un hack.
D'un autre coté, il y a les instructions bien rédigées pour Windows, OsX, et les liens de téléchargement de Truecrypt toujours dispo. Quand on met dans la balance le fait qu'il n'y a pas eu de nouvelle version depuis deux ans maintenant, ça ressemble crédiblement au dev qui laisse tomber et veut passer à autre chose.
 
Je suis dubitatif. Rien sur les sites de news. Je vais attendre pour voir.
 
Edit :

 
Damn. Pour un hoax, il est vachement bien fait. ça ressemble de plus en plus au dev qui nous a fait un craquage "fuck this shit, je vais aller elever des chevres"
 
Edit 2 : m'enfin, on dirait qu'on repete l'histoire comme avec CentOs. Personne n'a le mail du dev ou autre pour verifier ?

même message mais en fr :
http://korben.info/truecrypt.html

Perso pour le moment je reste avec ma version et je fait pas de maj.
Il ne faut pas oublier deux trucs : TC à reçu une certification de premier niveau de l'ANSSI
Donc assez sécurisé pour eux.
De deux un type avait regardé le code source ("rapidement" ce n'était pas un audit complet) sans voir de truc effrayant et recompilé sans voir de différence entre sa version compilée et les binaires.

 
 
J'apprécie de moins en moins ce qu'il pond
Il est passé depuis quelques mois en mode NSA-FBI-Parano, on a l'impression qu'il porte désormais un chapeau en papier alu lors de la rédaction de ses articles.. Là son hypothese préférée pour truecrypt c'est le tribunal secret franc-maçonnique....

le coup du Not Secure AS = NSA, j'avoue que j'aurais été incapable d'y penser  

Ca ressemble plus à un pétage de plomb du développeur qu'autre chose non?

Ce qui est étonnant si c'est ça, c'est l'absence d'explication, pour dire par exemple "j'en ai ras le bol d'avoir 50 mails par jour pour me demander quand est-ce qu'une nouvelle version sort..."
Pas de transmission du code du genre "maintenant faites-en ce que vous voulez"
Bref ça manque d'explications dont raffolent en général les dev pour justifier leur action. Soient ils laissent à l'abandon soient ils expliquent pourquoi ils arrêtent, ne serait-ce que pour dire que depuis qu'ils ont été embauchés chez X et qu'ils ont eu un gamin ils ne peuvent plus s'en occuper...

Dans les commentaires de ars technica quelqu'un évoque le fait qu'en faisant ainsi le dev se protège, vu que ça fait 2 ans que TC n'a pas eu de nouvelle version (et que la seconde partie de l'audit est en cours avec à priori une annonce prévue). Si une vulnérabilité est découverte, tout le monde va gueuler parce que personne n'a dit que le projet était abandonné, là au moins il peut partir la tête (relativement) haute, on ne pourra pas dire "on ne nous avait pas prévenu".
 
N'empêche que ça manque d'explication simple du contexte. Et la justification "ya ce qu'il faut dans Windows" est incohérente : pas de "plausible deniability" dans bitlocker par exemple...

Arf quelle déception Moi qui me nourrit de ce soft depuis des années
 
http://www.zdnet.fr/actualites/la- [...] 801739.htm
 
http://www.numerama.com/magazine/2 [...] osoft.html
 
Il va falloir attendre et conserver des copies de la 7.1a

Il n'y a plus qu'a attendre la révélation de Snowden le powerpoint qui va bien qui montre que la NSA a enlevé la femme du développeur et l'a fortement incité à mettre fin au site/logiciel s'il voulait la revoir...
 
bon, humour, tout ça... mais en attendant c'est pas cool

D'un autre côté, il y a les sources de truecrypt qui trainent sur le net, ce sera un beau challenge pour Anonymous

 
Sauf que là encore, exactement comme pour CentOs, tout le monde est en train de s'apercevoir tout d'un coup qu'on n'a pas la moindre idée de qui sont les devs, ils n'ont jamais discuté en public ou sur internet, personne n'a le moindre mail ni quoi que ce soit.
 
 

 
Exactement.
 
On reproduit encore une fois le schéma centos/openSSl. La moitié du web s'est appuyé lourdement pendant des années sur un petit projet mené par une ou deux personnes, parceque c'était bien pratique, c'est gratuit, ça coute rien, sans se poser à aucun moment la question de la viabilité du truc, qui le maintient vraiment, avec quel budget etc.. on s'en fout, "c'est open source". Mots magiques qui permettent de se défausser d'une grande partie des questions qu'on se pose d'habitude lorsqu'on utilise un logiciel.
 
Depuis l'affaire snowden et tout le monde qui se met à tout crypter pour un rien, ils se sont pris probablement une pression de folie, 2 audits en cours et tout, alors que c'est dans les faits toujours un petit projet "amateur" sans réel financement ni rien. Je doute sincèrement qu'ils s'attendaient à cette pression médiatique quand ils ont pondu leur soft.  
OpenSSl  a dû être la goute d'eau, a leur place, j'aurais fait pareil, "arretez d'utiliser notre soft, il y en a plein d'autres, on veut plus entendre parler de tout ça".

Tout à fait. Le truc c'est que c'est un domaine tellement complexe que :
- soit tu passes par une grosse boite et tu n'as aucune idée de la sécurité réelle apportée, de la perméabilité aux instances gouvernementales, ... (cf RSA il y a quelques mois).
- soit tu passes par un projet open source ou au moins gratos qui a l'air développé par un geek dans son coin, tu n'as aucune idée de la sécurité réelle (faut pas se leurrer, peu de personnes sont compétentes pour juger de la fiabilité de l'appli) mais tu te doutes que le mec dans son garage il n'a pas mis une backdoor pour le plaisir d'un organisme gouvernemental. Si en plus les sources sont publiques et que l'appli est pas mal utilisée tu te dis que d'autres (des pros qui utilisent l'appli) ont investigué un minimum sur ce qui se passe autour de l'application. Le strict minimum étant les communications entre l'application et l'extérieur (tiens le soft se connecte à xyz.com et balance des infos, c'est louche). Il n'y a qu'à voir par exemple le jailbreak d'iOS 7.0 qui avait un appel http comme ça, ça n'a pas pris 12h avant que ça soit repéré. On peut estimer que même si TC n'est pas iOS, les plus grosses failles/backdoor sont évitées.
 
Sinon je te suis pour l'attitude des devs, mais du coup pourquoi ne pas l'expliquer, libérer les sources, passer ça en GPL ou équivalent, ou demander de l'aide / de l'argent ou ...  ???
Quand on voit le financement obtenu rien que pour l'audit, il y a probablement de quoi monter quelque chose de plus sérieux...

 
ah mais cette partie-là je ne conteste pas. Je remets juste en cause l'exploitation de l'open-source/libre qui est faite. On utilise, on exploite, on exige, sans se poser la question des gens derriere. C'est open-source/libre, donc c'est magique, ça vit et ça se développe tout seul.  
On monte un kickstarter et on récolte du pognon pour auditer le soft sans même se poser la question si les devs ont de quoi vivre, eux.. il y a de quoi râler et avoir envie de tout lâcher sans explication et encore moins envie de lacher les sources.

Une partie de l'argent récoltée pourrait servir à payer les devs d'origine pour les remotiver un peu dans le projet.
 
Sinon, avis intéressant : http://bradkovach.com/2014/05/the- [...] r-problem/

 
 
A mon avis il fallait y penser avant. avant de "lâcher les chiens" sur eux, de leur coller la pression etc..
 
 

 
Bah c'est exactement ce que je dis depuis hier (ou à défaut, ce que je cherche à dire, il le dit mieux)

Je viens de vérifier ma version : 6.3. C'est grave docteur, par rapport à la 7.1 ?

 
je viens tout juste de la télécharger pendant qu'on la trouve encore facilement
je ne suis pas utilisateur de true crypt pour le moment mais on sait jamais, ca peut servir!
 
assez étrange cette histoire de l'arrêt de truecrypt. étrange que les dev conseillent de basculer sur bitlocker sachant que celui-ci a été pointé du doigt par snowden.  
de la à penser que le gouvernement a fait le forcing pour mettre à mort truecrypt, perso je pense que c'est du domaine du possible....

Site de "tentative de sauvetage" du projet : http://truecrypt.ch/
avec notamment les liens de téléchargement des anciennes versions et les sources sur un github

 
Après, c'est toujours pareil : tu chiffres tes données pour quelle raison ?
 
Perso, je chiffre toutes mes cartes Sd et clés USB parceque ce sont les trucs qui se perdent en deux secondes et peuvent être trouvées par n'importe qui.
 
Idem pour les disques de mes ordis. Si on me vole un ordi, au moins je ne perds que mon matos, je n'ai pas à rajouter par dessus la crainte d'usurpation d’identité ou autre, comme ça arrive souvent dans ces cas-là.
 
Et bitlocker est très bien pour ça. J'utilise truecrypt uniquement parceque bit n'est pas dispo sur certaines plateformes.
 
Chiffrer sa clé usb par peur de la NSA, je sais pas, j'ai du mal à l'expliquer, mais je trouve ça tellement ridicule.. Je ne vais pas sortir le fameux "je n'ai rien à cacher" propre à ce genre de débat, mais vraiment, c'est une raison qui me dépasse un peu, comme si la NSA et le FBI en avaient quelque chose à faire de nos données (et je voudrais bien savoir dans quelles conditions une de mes clés USB tombera entre leurs mains. Si un jour la NSA est sur mon dos au point d'utiliser une backdoor pour déchiffrer mes clés USB et cartes SD, je ne suis pas sûr que les données dessus soient le plus grand de mes soucis).
A la limite, le traitement de nos données par Google me préoccupe bien plus que celui de la NSA..
 
Mais bon, ce n'est que mon avis/ressenti perso.

 
AUCUN rapport avec la NSA...
 
tu peux chiffrer tes données simplement pour que celles-ci ne soient pas accessibles en cas de vol de ton matériel.
 
ceci dit, dans le cadre d'affaire répréhensibles, la NSA souhaite pouvoir avoir l'accès aux données des machines des méchants qui auront été arrêtés! Avec truecrypt, ce n'est pas le cas, le FBI s'est déjà mordu les doigts à essayer de déchiffrer des disques dur...

C'est exactement ce que je dis....Tu as lu tout mon post ou pas ?

 
c'est pas ce que je comprends dans ton post.

Et bien je suis désolé pour toi
 
En résumé : si tu chiffres en cas de vol qu'est-ce que tu t'en fous que snowden l'ait pointé du doigt parceque "c'est closed source donc on ne sait pas s'il y a une backdoor pour le gouvernement" ?
Il n'y a que si tu as peur du gouvernement (et donc que tu chiffres tes données uniquement par peur du gouvernement, comme ça s'est vu depuis snowden) que ce genre de discours a une quelconque importance.

 
parce que peut être qu'un jour ce backdoor pour être rendu public par des fuites....

je viens de lire la fin de TC et penche pour des pressions exterieures ou simplement ne pas vouloir porter une responsabilité en cas de gros boom.
 
l avantage d un conteneur TC, c est que tu peux l ouvrir de partout, et indépendamment d l OS installé.  
Comment fonctionne BitLocker sur une clef USB entre plusieurs PC? N y a t il pas de liens avec le Windows sur lequel il a été activé comme c etait le cas sur les anciennes options de chiffrement sous Windows (lié à un certificat local) ??
Ou ex encore plus claire: avec l heresie actuelle du cloud, si on veut garder la maitrise de ses donnés, il est préférable d avoir juste un contenair TC ds le cloud (dropbox par ex). BitLocker n est PAS une alternative!

Et bien on avisera ce jour là.
 
Je te rappelle que c'est un peu avec ce genre d'arguments que les gens ont conseillé truecrypt pendant des années "c'est open source, donc ce sera toujours maintenu, il n'y aura jamais de failles".
 
Boum.
 
L'informatique, ça fait des années que j'ai compris que ce n'est pas un domaine dans lequel la pérénnité existe. Open ou closed source. donc je fais avec ce qui marche à l'instant T. Aujourd'hui par exemple, je balise bien moins avec la majorité de mon parc sous bit que s'il était sur TC.
SI un jour on découvre des failles dans bitlocker, et bien j'aviserai ce jour-là. Ce jour-là il y aura peut-être une solution mieux que Bit.
 
 

 
Non. Il te demande la clé via un popup.
 

 
Bah la question est toujours la même : tu as peur de qui ?

 
 
le truc c'est qu'il n'y a peut être pas de failles dans true crypt justement.... c'est peut être le gouvernement américain (ou un autre...) qui a fait pression pour essayer de justifier tant bien que mal l'arrêt de truecrypt.  
je me dis que si c'était vraiment une faille, les devs ne conseilleraient pas d'autres solutions, ils auraient annoncés qu'une nouvelle version était en cours pour combler cette faille.  
et c'est quand même surprenant de proposer un nouvelle version (7.2) tout en annoncant en même temps qu'il y a une faille.....  
 
c'est pas super clair tout ca.

Rassures-moi, tu as lu tout ce qui a ete dit au dessus a ce propos ?

 
je crois avoir suivi oui.
 
si j'ai zappé un truc, corriges  moi

+ les 2/3 d'articles sponsorisés. C'est plus ce que c'était. Dommage.

Rasoir d'Ockham: le développeur a pété les plombs pour une raison ou une autre et lâche son produit.
 

La 7.2 permet de déchiffrer, pas de chiffrer, donc peu importe qu'il y ait faille, cette version servira pour migrer vers une autre solution.
 

Effectivement.

 
 
Tu as tout zappé oui. (rappelles-moi, c'était pas ce genre de trucs qui t'as indirectement valu un TT, les réponses à coté de la plaque sans lire les autres messages etc ?)
 
allez, résumé encore une fois pour jpgcollection, fidèle à lui-même.
 
Même si la these du complot gouvernemental judéo franco maçonique ferait plaisir à tout le monde et surtout les amateurs de complots et de "NSA is watching us", l'explication la plus simple est souvent la meilleure :
 
- pas de nouvelle version depuis 2 ans, ce qui dénote déjà une certaine lassitude
- tout le monde depuis l'affaire snowden qui recommande de tout chiffrer en long en large et en travers, notamment en utilisant truecrypt, ce qui leur colle déjà une pression qu'ils n'avaient pas prévu, sans pour autant voir d'avancée niveau financiere/dons etc. (c'est open source, donc ça se développe tout seul selon la croyance populaire)
- open ssl, projet de la même envergure (un seul dev rémunéré, mais utilisé partout parceque gratuit et opensource) se prend une faille et se fait basher sur tout le web. On parle désormais d'audits réguliers etc..
- on leur colle des audits de folie sur le dos, comme s'il s'agissait de Microsoft ou oracle, dont ils devront répondre par la suite.
- goutte d'eau qui fait probablement déborder le vase, il y a eu levée de fonds pour payer les audits, mais rien pour eux.
 
Tout ça cumulé donne un résultat prévisible : "fuck this shit, demerdez vous sans nous".

 
wow, merci pour le ton hautain...... je te demande simplement de me corriger si je me plante et tu ne trouves rien de mieux que de faire du rentre dedans.
 
mais ca se sent tout de suite en voyant ton historique de messages que tu es un pro....  
 
 
merci, aurevoir

flash_gordon représente le franc-parler de ce forum, comme si tu n'étais pas au courant depuis des lustres .

En tout cas, j'apprécie ses analyses, ce sera toujours nettement mieux que lire korben

 
Le résumé que je viens de faire c'est le résumé des posts de la même page que celle sur laquelle on est. Je suis désolé, la seule maniere d'y trouver une info inédite, c'est de ne pas avoir lu les autres messages au-dessus
 
Tu n'aurais jamais parlé de "pourquoi ils proposent pas une nouvelle version qui corrige le probleme" etc, si tu avais lu, aller, ne serait-ce qu'un tiers des messages..
 

 
J'ai beau relire dix-huit fois, je sais pas comment je dois le prendre

Déjà je voudrai rappeler un truc, il me semble que TC bien qu'aillant les sources publiques n'est pas "libre"/"free"/"open source" comme certain semblent en parler.
C'est un freeware dont on peut consulter le code source, pas un "open source" dans le sens classique du terme.
D'où peut-être de prochaines difficultés pour ceux qui voudrai reprendre le code pour le poursuivre : il est soumis au droit d'auteur et n'est pas libre.
 
Je ne sais que penser de cet arrêt.
D'un coté, que craindre d'un audit ? A moins d'avoir volontairement caché une backdoor, le(s) dev(s) n'a(ont) rien à craindre. Au contraire, il(s) connaitra(ont) les points à améliorer.
 
Je penche surtout pour une lassitude de l'équipe. Comme déjà dit ça fait deux ans qu'il n'y a pas de nouvelle version.
Combiné au fait que TC deviens de plus en plus conseillé pour chiffrer les données sans forcément avoir le reconnaissance tant technique (aide au développement, remonté de bug etc etc) que financière.
Il est je pense plus probable que l'équipe en ai eu marre de se casser le cul sans reconnaissance ni aide.
 
Mais je trouve le message "faille majeure ne plus utiliser on stoppe" assez étrange.
Une tentative de faire le buz pour avoir de l'aide ?
 
 
Enfin, pour en venir au chiffrement NSA-proof, en cas de perte/vol etc etc...
Il y a quelques années on parlais ici des "chinois du FBI en Russie".
A ce moment on parlais alors de deux catégorie d'usage :
 - que ses données ne soient pas dans la nature en cas de perte ou de vol du matériel
 - protection de données "sensibles" soit du genre bancaire/pr0n ou alors illégale
 
Mais depuis on a découvert que certain pays se livraient à de l'espionnage économique à grande échèle.
Et TC est aussi une des solutions qui peuvent aider à s'en protéger.
Il faut donc ajouter une catégorie d'usage principal : la protection des données professionnelles en cas d'espionnage économique
 
 
 
En tout cas j'ai hâte de voir ce que ça va donner dans quelques jours/semaines.
Une nouvelle version ?
Une reprise du projet sous licence GPL ?

 
C'est effectivement simplement open-source et pas libre, les deux étant bien différents. Tu remarqueras que j'ai bien fait gaffe à chaque fois que j'en parle, de ne parler que d'open-source.
Par contre, oui, en effet, beaucoup de ceux qui ont fait du prosélytisme TC (dont tous les sites parlant de Snowden etc) ont souvent fait l'amalgame.
Ne serait-ce que la FP de ce topic.
 

 
Je pense qu'on est tous d'accord et qu'on dit la même chose
 

 
Craindre au sens propre du terme (légalement etc), rien. Mais un audit c'est pas rien psychologiquement, c'est quelqu'un qui juge ce que tu fais.  
Quand tu es payé pour ok, mais quand tu te prends un audit pour un travail que tu as pondu gratuitement, sans aucune reconnaissance à coté, ça fait tout sauf plaisir. J'aurais réagi pareil à leur place.
 

 
Attention, ils n'ont jamais dit ça.
 
Le message est "Using TrueCrypt is not secure as it may contain unfixed security issues".
 
C'est parfaitement compatible avec tout ce qu'on vient de dire. C'est juste une manière de se couvrir, il n'y a pas eu de version depuis deux ans, ils n'ont pas envie de se casser le cul à maintenir le code ou quoi, ils n'ont pas envie d'avoir à se justifier si les audits découvrent quelque chose, alors ils préviennent.
 
C'est exactement comme XP (dont ils parlent justement). Pour l'instant, ça n'a pas encore explosé, il n'y a pas encore eu de faille majeure découverte depuis l'arret du support. Mais comme il n'y a plus de support, c'est déconseillé de l'utiliser et MS se défausse de toute responsabilité en prévenant de la même manière.