Archives de catégorie : Tchunt

La Loi, Truecrypt et le chiffrement de disque en France

Je lis souvent des commentaires d’utilisateurs de chiffrement de disque qui se félicite d’être à l’abri de la loi…

Je rappel que Truecrypt n’est pas Plausible Deniability Proof. C’est à dire que bien que l’on ne puisse pas prouver qu’un fichier est un fichier chiffré n’importe quel expert judiciaire peut le suspecter très très fortement ce qui peut être suffisant pour un juge. J’expliquais comment ici et TCHUNT et ici avec FITOOLS.

Continuer la lecture de La Loi, Truecrypt et le chiffrement de disque en France

TCHunt sort en version 1.3

TCHunt 1.3 est la dernière version du bébé des petits malin de 16systems. Pour l’anecdote elle est sortie le 4 juillet, jours de la fête nationale aux USA. Si vous ne savez pas ce que c’est lisez ça.

Toujours pas de changelog, mais on peut noter que l’interface graphique continue de se simplifier avec l’ajout d’une fonction d’export et de sauvegarde des résultant en HTML respectant l’ISO 8601.Quelques screenshot de la version US marqué 1.2, mais c’est bien la 1.3.

Continuer la lecture de TCHunt sort en version 1.3

TCHunt 1.1

Voici quelques semaine que TCHunt est sortie en version 1.1, la 1.2 est prévu pour le 4 juillet 2009.

16Systems ne fournis malheureusement pas de changelog donc les nouveautés sont uniquement visible pour la  1.1 qui est résolument une version userfriendly.

  • L’apparition d’une interface graphique qui va surement ravir les utilisateurs récalcitrant aux ligne de commande.
  • La traduction en 5 langues TCHunt (pas terrible encore en français).

tchunt11

Plus d’infos sur TCHunt ICI et ICI et vous pouvez télécharger la nouvelle version ICI.

Sortie de TCHunt 1.1 le 7 juin !

16systems teams announces the new version 1.1 of TCHunt for June 7. This new version will be translated in french and Spanish in addition to English.
The changelog has not yet been released but we already learned that TCHunt is now able to go look in the removable media (USB) and optical disks (CD-DVD).
TCHunt FAQ has been updated, with the appearance of 2 links to the ticket that I had written comparing TCHunt and FI Tools with a comment a little spicy to FI Tools;).
The authors of TCHunt be more confident in the rate of detection of encrypted file. They have announced test TCHunt with several millions of TC file without generating false-negative.

Les gars de chez 16systems annonce la sortie de la nouvelle version 1.1 de TCHunt pour le 7 juin. Cette nouvelle version sera traduite en français et en espagnol en plus de l’anglais.
Pour l’anecdote c’est moi qui ai traduit la version fr 😀

Le changelog n’a pas encore été publié mais on apprend déjà que TCHunt est a présent capable d’aller rechercher dans les supports amovibles (USB) et les disques optiques (CD-DVD).

Au passage la FAQ de TCHunt a été mise à jour, avec l’apparition de 2 liens vers le billet que j’avais écris comparant TCHunt et FI Tools avec un commentaire un brin piquant envers FI Tools ;).
Les auteurs de TCHunt se montre plus confiant dans le taux de détection de fichier chiffré. Ils annoncent avoir tester TCHunt avec des millions de fichier TC sans qu’il génère de faux-négatif.

Détecter truecrypt : TCHunt vs FI TOOLS

truecrypt-icon

Un des points fort d’un logiciels de chiffrement de disque (outre sa capacité à chiffrer) réside dans son aptitude à masquer le fait qu’un fichier aléatoire est un fichier chiffré.

En Janvier 2009, des petits gars fortiche en math ont montré avec leur première alpha de TCHunt que les fichiers chiffrer par Truecrypt pouvait être détecté. Toutefois en janvier, l’alpha TCHunt décelait encore trop de faux positif. L’idée fut reprise fin avril 2009 par Forensic Innovation et leurs outils de recherche de fichier FI Tools. Mais c’est avec l’apparition début mai 2009 de la première version stable de TCHunt que la compétition commença réellement. Est ce que ces logiciels annoncent la fin du dénie plausible ? Nous allons le voir.

Aussi mystérieux l’un que l’autre sur la façon dont ils fonctionnent j’ai voulus savoir quels était leurs performances réelles. Pour ce faire, j’ai créé 6 fichiers avec Truecrypt de tailles différentes, avec des hash différent, des algorithmes de chiffrement différent, des mots de passe différents, des noms différents, des extensions différentes, et enfin des emplacements sur le disque différent.

Continuer la lecture de Détecter truecrypt : TCHunt vs FI TOOLS

TCHunt détecte les volumes Truecrypt

TCHunt est un logiciel gratuit mais pas open-source qui permet de détecter les volumes (fichiers, conteneurs) Truecrypt. La version stable de TCHunt vient de sortir (6 mai 2009) et elle est téléchargeable ici. Il a été écrit en C++ et le Gui (qui n’est pas disponible au publique) avec wsWidgets.

tchunt3

Les auteurs de TCHunt ne veulent pas révéler leurs code source toutefois ils donnent quelques indications sur le fonctionnement du logiciel (à prendre avec des pincettes) :

  1. Dans un premier temps, TCHunt recherche tous les fichiers qui n’ont pas d’entête (file header). C’est une des propriétés fondamentales de Truecrypt que de ne pas créer des entêtes portant la marque de Truecrypt.
  2. Sur ces fichiers il ne sera conservé que les fichier divisibles par 512. Du fait des modes d’opération de chiffrement de disque tel que LRW ou XTS, tous les blocs à chiffrer sont regroupé en secteur de 512 bytes. Les auteurs affirment qu’en moyenne 11% des fichiers d’un ordinateur sous Windows correspondent à ces 2 conditions. Sur un PC ayant 200 000 fichiers cela fait quand même prêt de 22 000 fichiers.
  3. Sur les fichiers restant TCHunt applique la loi de (khi-deux) et enfin une moyenne Arithmétique sur certain bytes. C’est bien sur cette partie la plus intéressante dont les auteurs parlent le moins. Ils précisent toutefois qu’ils permettent alors d’isoler 0.01% des fichiers suspect ainsi.
  4. Et enfin si les fichiers résultant n’ont pas le même entête alors TCHunt les considérera comme étant des fichiers TC. Car il est impossible que 2 volumes TC différent aient le même entête.

Toutefois rien n’est parfait, les auteurs ne garantissent pas que le programme trouvera tout vos volumes truecrypt, des faux-positif et des faux-négatif (ne pas détecter un fichier TC) sont possibles.

Cet applicatif renforce la nécessité de créer des volumes caché (hidden volume) dans les volumes Truecrypt.

Commentaire sur TCHunt et le déni plausible:

Beaucoup se demande si l’apparition de TCHunt signifie la fin du déni plausible. La réponse n’est pas simple car TCHunt ne permet pas de prouver qu’un fichier aléatoire est un fichier truecrypt. Il permet simplement de suspecter. Pour prouver qu’un fichier aléatoire est un fichier truecrypt il faut connaitre obligatoirement le mot de passe.

Plus d’infos sur le site officiel.