TCHunt est un logiciel gratuit mais pas open-source qui permet de dĂ©tecter les volumes (fichiers, conteneurs) Truecrypt. La version stable de TCHunt vient de sortir (6 mai 2009) et elle est tĂ©lĂ©chargeable ici. Il a Ă©tĂ© Ă©crit en C++ et le Gui (qui n’est pas disponible au publique) avec wsWidgets.

Les auteurs de TCHunt ne veulent pas révéler leurs code source toutefois ils donnent quelques indications sur le fonctionnement du logiciel (à prendre avec des pincettes) :
- Dans un premier temps, TCHunt recherche tous les fichiers qui n’ont pas d’entĂȘte (file header). C’est une des propriĂ©tĂ©s fondamentales de Truecrypt que de ne pas crĂ©er des entĂȘtes portant la marque de Truecrypt.
- Sur ces fichiers il ne sera conservĂ© que les fichier divisibles par 512. Du fait des modes d’opĂ©ration de chiffrement de disque tel que LRW ou XTS, tous les blocs Ă chiffrer sont regroupĂ© en secteur de 512 bytes. Les auteurs affirment qu’en moyenne 11% des fichiers d’un ordinateur sous Windows correspondent Ă ces 2 conditions. Sur un PC ayant 200 000 fichiers cela fait quand mĂȘme prĂȘt de 22 000 fichiers.
- Sur les fichiers restant TCHunt applique la loi de ?ÂČ (khi-deux) et enfin une moyenne ArithmĂ©tique sur certain bytes. C’est bien sur cette partie la plus intĂ©ressante dont les auteurs parlent le moins. Ils prĂ©cisent toutefois qu’ils permettent alors d’isoler 0.01% des fichiers suspect ainsi.
- Et enfin si les fichiers rĂ©sultant n’ont pas le mĂȘme entĂȘte alors TCHunt les considĂ©rera comme Ă©tant des fichiers TC. Car il est impossible que 2 volumes TC diffĂ©rent aient le mĂȘme entĂȘte.
Toutefois rien n’est parfait, les auteurs ne garantissent pas que le programme trouvera tout vos volumes truecrypt, des faux-positif et des faux-nĂ©gatif (ne pas dĂ©tecter un fichier TC) sont possibles.
Cet applicatif renforce la nécessité de créer des volumes caché (hidden volume) dans les volumes Truecrypt.
Commentaire sur TCHunt et le déni plausible:
Beaucoup se demande si l’apparition de TCHunt signifie la fin du dĂ©ni plausible. La rĂ©ponse n’est pas simple car TCHunt ne permet pas de prouver qu’un fichier alĂ©atoire est un fichier truecrypt. Il permet simplement de suspecter. Pour prouver qu’un fichier alĂ©atoire est un fichier truecrypt il faut connaitre obligatoirement le mot de passe.
Plus d’infos sur le site officiel.
Jâaime ça :
Jâaime chargement…