pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Il y a trop de logiciels de protection bidons

Mardi 18 aout 2009

C'est incroyable le nombre de logiciels qui existe pour "protéger un dossier par mot de passe". Ce qui est incroyable aussi, c'est la proportion de ces logiciels qui sont totalement bidons et qui n'offrent aucune sécurité réelle.

Je ne perds généralement pas de temps à démontrer qu'ils ne valent rien, mais de temps en temps ça me toque, comme par exemple récemment My Lockbox que je viens de démonter sur CCM.

Qu'est ce qui ne va pas avec ces logiciels ?

  • La plupart ne font que masquer les dossiers, les déplacer, voire changer le nom des fichiers. Ce qui se contourne en deux minutes en démarrant simplement sur un CD Linux.
  • Seuls les logiciels qui chiffrent (encryptent) les fichiers peuvent prétendre offrir une certaine sécurité, et encore pas n'importe comment:

    • Certains utilisent des algorithmes de chiffrement bidons (non fiables, voir carrément amateur), ce qui permet parfois de récupérer les fichiers en analysant le programme.
    • D'autres utilisent des algos fiables (comme AES), mais utilisent de mauvaises méthodes de vérification du mot de passe, ce qui rend le mot de passe facile à deviner (genre: stockage de la MD5 du mot de passe).
    • Certains logiciels ont aussi besoin d'une action pour re-vérouiller le dossier: Donc même si l'ordinateur est verrouillé, il vous suffit de presser le bouton RESET pendant qu'un dossier "protégé" est ouvert, et vous pouvez accéder aux fichiers. Et en cas de plantage, vos fichiers restent en clair.

Bref... dans la grande majorité des cas, les logiciels sont bidons, et ils sont très loin d'offrir la sécurité qu'ils annoncent.

Après avoir pas mal cherché, je reste sur TrueCrypt: L'auteur est loin d'être un imbécile et a pris un soin particulier à différents détails, comme la méthode de vérification du mot de passe, les algos et le mode de chiffrement, ou encore le cas où la machine est redémarrée de force alors que le dossier n'est pas re-vérouillé.

Ne confiez pas la sécurité de vos fichiers à n'importe quel logiciel, et ne vous arrêtez pas à ce que prétend l'auteur du logiciel.


PS: Si TrueCrypt vous intéresse, j'ai fait un petit didactitiel en vidéo pour expliquer son utilisation.

Voir tous les billets