Lorsque l’équipe de développement de Truecrypt a annoncé l’arrêt brutal du développement de cet outil de chiffrement multiplateformes, les pires suppositions ont fusées, tant dans la presse que sur les blogs. Suppositions d’autant plus alarmistes que la première phrase, marquée au fer rouge en tête de page, ne laisse place à aucun doute « WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues ». De là à se demander, par simple réflexe post-snowdenien, si ces « security issues », et plus particulièrement d’éventuels erreurs d’implémentations plus ou moins volontaires, n’auraient pas été provoquées.
Pourtant, comme le fait remarquer Hervé Schauer, au fil de sa lettre d’information mensuelle, Truecrypt a été audité maintes et maintes fois : une initiative de l’Open Crypto Audit, deux audits CSPN en France comme le rappel un communiqué de l’Ansi. Lequel Ansi, au passage, recommande la migration vers d’autres solutions de chiffrement, toutes « closed sources » et commerciales.
Pour l’heure, donc, Truecrypt doit être considéré comme relativement fiable, et si l’on ne craint pas d’être la cible des attentions particulières de la NSA, et il est urgent de ne pas paniquer. Particulièrement pour ce qui concerne les personnes exploitant différentes versions (Windows/Linux/OSX) du programme. Un fork Helvétique devrait permettre aux inconditionnels de ce programme open source de perdurer encore.
