Archives de catĂ©gorie : Tchunt

La Loi, Truecrypt et le chiffrement de disque en France

Je lis souvent des commentaires d’utilisateurs de chiffrement de disque qui se fĂ©licite d’ĂȘtre Ă  l’abri de la loi…

Je rappel que Truecrypt n’est pas Plausible Deniability Proof. C’est Ă  dire que bien que l’on ne puisse pas prouver qu’un fichier est un fichier chiffrĂ© n’importe quel expert judiciaire peut le suspecter trĂšs trĂšs fortement ce qui peut ĂȘtre suffisant pour un juge. J’expliquais comment ici et TCHUNT et ici avec FITOOLS.

Continuer la lecture de La Loi, Truecrypt et le chiffrement de disque en France

TCHunt sort en version 1.3

TCHunt 1.3 est la derniĂšre version du bĂ©bĂ© des petits malin de 16systems. Pour l’anecdote elle est sortie le 4 juillet, jours de la fĂȘte nationale aux USA. Si vous ne savez pas ce que c’est lisez ça.

Toujours pas de changelog, mais on peut noter que l’interface graphique continue de se simplifier avec l’ajout d’une fonction d’export et de sauvegarde des rĂ©sultant en HTML respectant l’ISO 8601.Quelques screenshot de la version US marquĂ© 1.2, mais c’est bien la 1.3.

Continuer la lecture de TCHunt sort en version 1.3

TCHunt 1.1

Voici quelques semaine que TCHunt est sortie en version 1.1, la 1.2 est prévu pour le 4 juillet 2009.

16Systems ne fournis malheureusement pas de changelog donc les nouveautés sont uniquement visible pour la  1.1 qui est résolument une version userfriendly.

  • L’apparition d’une interface graphique qui va surement ravir les utilisateurs rĂ©calcitrant aux ligne de commande.
  • La traduction en 5 langues TCHunt (pas terrible encore en français).

tchunt11

Plus d’infos sur TCHunt ICI et ICI et vous pouvez tĂ©lĂ©charger la nouvelle version ICI.

Sortie de TCHunt 1.1 le 7 juin !

16systems teams announces the new version 1.1 of TCHunt for June 7. This new version will be translated in french and Spanish in addition to English.
The changelog has not yet been released but we already learned that TCHunt is now able to go look in the removable media (USB) and optical disks (CD-DVD).
TCHunt FAQ has been updated, with the appearance of 2 links to the ticket that I had written comparing TCHunt and FI Tools with a comment a little spicy to FI Tools;).
The authors of TCHunt be more confident in the rate of detection of encrypted file. They have announced test TCHunt with several millions of TC file without generating false-negative.

Les gars de chez 16systems annonce la sortie de la nouvelle version 1.1 de TCHunt pour le 7 juin. Cette nouvelle version sera traduite en français et en espagnol en plus de l’anglais.
Pour l’anecdote c’est moi qui ai traduit la version fr 😀

Le changelog n’a pas encore Ă©tĂ© publiĂ© mais on apprend dĂ©jĂ  que TCHunt est a prĂ©sent capable d’aller rechercher dans les supports amovibles (USB) et les disques optiques (CD-DVD).

Au passage la FAQ de TCHunt a Ă©tĂ© mise Ă  jour, avec l’apparition de 2 liens vers le billet que j’avais Ă©cris comparant TCHunt et FI Tools avec un commentaire un brin piquant envers FI Tools ;).
Les auteurs de TCHunt se montre plus confiant dans le taux de dĂ©tection de fichier chiffrĂ©. Ils annoncent avoir tester TCHunt avec des millions de fichier TC sans qu’il gĂ©nĂšre de faux-nĂ©gatif.

Détecter truecrypt : TCHunt vs FI TOOLS

truecrypt-icon

Un des points fort d’un logiciels de chiffrement de disque (outre sa capacitĂ© Ă  chiffrer) rĂ©side dans son aptitude Ă  masquer le fait qu’un fichier alĂ©atoire est un fichier chiffrĂ©.

En Janvier 2009, des petits gars fortiche en math ont montrĂ© avec leur premiĂšre alpha de TCHunt que les fichiers chiffrer par Truecrypt pouvait ĂȘtre dĂ©tectĂ©. Toutefois en janvier, l’alpha TCHunt dĂ©celait encore trop de faux positif. L’idĂ©e fut reprise fin avril 2009 par Forensic Innovation et leurs outils de recherche de fichier FI Tools. Mais c’est avec l’apparition dĂ©but mai 2009 de la premiĂšre version stable de TCHunt que la compĂ©tition commença rĂ©ellement. Est ce que ces logiciels annoncent la fin du dĂ©nie plausible ? Nous allons le voir.

Aussi mystĂ©rieux l’un que l’autre sur la façon dont ils fonctionnent j’ai voulus savoir quels Ă©tait leurs performances rĂ©elles. Pour ce faire, j’ai créé 6 fichiers avec Truecrypt de tailles diffĂ©rentes, avec des hash diffĂ©rent, des algorithmes de chiffrement diffĂ©rent, des mots de passe diffĂ©rents, des noms diffĂ©rents, des extensions diffĂ©rentes, et enfin des emplacements sur le disque diffĂ©rent.

Continuer la lecture de Détecter truecrypt : TCHunt vs FI TOOLS

TCHunt détecte les volumes Truecrypt

TCHunt est un logiciel gratuit mais pas open-source qui permet de dĂ©tecter les volumes (fichiers, conteneurs) Truecrypt. La version stable de TCHunt vient de sortir (6 mai 2009) et elle est tĂ©lĂ©chargeable ici. Il a Ă©tĂ© Ă©crit en C++ et le Gui (qui n’est pas disponible au publique) avec wsWidgets.

tchunt3

Les auteurs de TCHunt ne veulent pas révéler leurs code source toutefois ils donnent quelques indications sur le fonctionnement du logiciel (à prendre avec des pincettes) :

  1. Dans un premier temps, TCHunt recherche tous les fichiers qui n’ont pas d’entĂȘte (file header). C’est une des propriĂ©tĂ©s fondamentales de Truecrypt que de ne pas crĂ©er des entĂȘtes portant la marque de Truecrypt.
  2. Sur ces fichiers il ne sera conservĂ© que les fichier divisibles par 512. Du fait des modes d’opĂ©ration de chiffrement de disque tel que LRW ou XTS, tous les blocs Ă  chiffrer sont regroupĂ© en secteur de 512 bytes. Les auteurs affirment qu’en moyenne 11% des fichiers d’un ordinateur sous Windows correspondent Ă  ces 2 conditions. Sur un PC ayant 200 000 fichiers cela fait quand mĂȘme prĂȘt de 22 000 fichiers.
  3. Sur les fichiers restant TCHunt applique la loi de ?ÂČ (khi-deux) et enfin une moyenne ArithmĂ©tique sur certain bytes. C’est bien sur cette partie la plus intĂ©ressante dont les auteurs parlent le moins. Ils prĂ©cisent toutefois qu’ils permettent alors d’isoler 0.01% des fichiers suspect ainsi.
  4. Et enfin si les fichiers rĂ©sultant n’ont pas le mĂȘme entĂȘte alors TCHunt les considĂ©rera comme Ă©tant des fichiers TC. Car il est impossible que 2 volumes TC diffĂ©rent aient le mĂȘme entĂȘte.

Toutefois rien n’est parfait, les auteurs ne garantissent pas que le programme trouvera tout vos volumes truecrypt, des faux-positif et des faux-nĂ©gatif (ne pas dĂ©tecter un fichier TC) sont possibles.

Cet applicatif renforce la nécessité de créer des volumes caché (hidden volume) dans les volumes Truecrypt.

Commentaire sur TCHunt et le déni plausible:

Beaucoup se demande si l’apparition de TCHunt signifie la fin du dĂ©ni plausible. La rĂ©ponse n’est pas simple car TCHunt ne permet pas de prouver qu’un fichier alĂ©atoire est un fichier truecrypt. Il permet simplement de suspecter. Pour prouver qu’un fichier alĂ©atoire est un fichier truecrypt il faut connaitre obligatoirement le mot de passe.

Plus d’infos sur le site officiel.