Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'ANSSI libère les sources d'Orc, son outil de collecte de données forensiques

Caresse du pied
Logiciel 3 min
L'ANSSI libère les sources d'Orc, son outil de collecte de données forensiques

La semaine dernière, l’ANSSI libérait les sources d’un outil spécifique, DFIR Orc, conçu pour récupérer les données criminalistiques dans les parcs Windows. Des ambitions dans le logiciel libre associées à des attentes, car l’agence espère une émulation autour d’Orc.

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) a publié il y a une semaine sur son compte GitHub les sources d’Orc, pour « Outil de recherche de compromission ». Il a été conçu en 2011 et n’a, depuis, « cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows ».

Orc est capable de récolter des données sur des parcs entiers. Il a été développé dans le cadre de la lutte contre les APT (Advanced Persistent Threats), des attaques caractérisées par leur haut niveau de furtivité et la continuité. Elles sont le plus souvent le résultat de groupes de pirates très organisés, capables d’exploiter rapidement des failles de sécurité inconnues. Ce qui rend parfois complexe leur détection.

Des outils spécifiques de collecte, pas d'analyse

Ces outils sont clairement destinés aux professionnels de la sécurité informatique et n’ont rien de grand public. Ils ne peuvent d’ailleurs pas être utilisés tels quels et nécessite un fichier de configuration (au format XML). Ils permettent de connaitre l’état à un instant T d’un parc, mais ne s’occupent que de la récupération, non de l’analyse.

L’ANSSI assure qu’Orc réalise ses opérations « en minimisant l’impact sur [le] fonctionnement normal d’un parc Microsoft Windows » et « les risques d’altérations des données collectées ». Orc ne modifie ainsi pas la configuration des machines analysées.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident », indiquait dans un communiqué François Deruty, sous-directeur Opérations de l’ANSSI.

Un recours plus massif à l'open source

L’ANSSI s’investit en effet plus massivement dans le logiciel libre ces dernières années. Orc est publié sous licence LGPL 2.1, particulièrement souple puisqu’elle permet de lier le code open source à du code propriétaire, selon les besoins des développeurs. La version fournie est la 10.

Le choix de l’Agence de libérer les sources n’est en effet pas anodin. « À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière » ajoute François Deruty.

Plus précisément, l’ANSSI souhaite « l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités ». Enrichir Orc en partenariat avec les développeurs et chercheurs intéressés ? Précisément, l’agence ajoutant qu’elle « continuera à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil ».

Un cercle vertueux donc, déjà initié avec d’autres outils, notamment le système d’exploitation Clip OS et WooKey, un projet de disque externe sécurisé. Une manière également de créer une émulation autour de ses outils dédiés à la sécurité pour permettre, pourquoi pas, de repérer de nouveaux talents. L'utilisation de l'anglais dans les différents descriptifs n'est d'ailleurs pas anodine : autant favoriser la coopération internationale. 

Rappelons enfin que même si les dernières publications de l’ANSSI attirent le regard par leur ampleur, le dépôt GitHub de l’agence compte actuellement plus d’une quarantaine de projets open source, beaucoup en GPL 3.0, d’autres sous licence BSD.

Nous nous entretiendrons avec François Deruty sur le sujet, en marge des Assises de la sécurité de Monaco. 

6 commentaires
Avatar de FrancoisA INpactien
Avatar de FrancoisAFrancoisA- 01/10/19 à 14:16:18

Comme d'habitude, l'ANSSI publie ses logiciels en kit.
Ils ne peuvent jamais faire comme tout le monde ; publier un exécutable ET les sources.

Avatar de pyrignis Abonné
Avatar de pyrignispyrignis- 01/10/19 à 15:34:20

En même temps, pour un logiciel comme ORC, qui sert à la collècte d'informations nessesaire pour une recherche de compromission sur des parcs massifs, les utilisateurs visés doivent tous être en mesure de compiler un logiciel. Et même pas mal plus pour avoir une chance de traiter correctement les informations remontées.

Avatar de elende Abonné
Avatar de elendeelende- 01/10/19 à 15:51:49

Et pouquoi pas un GUI pendant qu'on y est?

Avatar de hansi INpactien
Avatar de hansihansi- 01/10/19 à 19:14:01

Mazal Tov : ils ont fait un fgrep géant sur les partages de smbd ?!
J'ai failli croire un moment que l'ANSSI avait enfin réussi à comprendre les impératifs quotidiens d'une PME/PMI.
 

Avatar de PSXBH Abonné
Avatar de PSXBHPSXBH- 02/10/19 à 10:41:54

Il faut relire et comprendre le cas d'usage de ce type d'outil avant de sortir des âneries pareilles.

Avatar de numerid Abonné
Avatar de numeridnumerid- 02/10/19 à 11:02:31

Évidemment que toutes les PME/PMI ont besoin de ce genre d'outils au
quotidien même, enfin ce serait le cas si c'était un logiciel de
comptabilité. :D

Plus sérieusement, un petit lien pour expliquer le mot du titrequi
indique clairement que ce n'est pas un outil pour les PME/PMI, sauf
exception, et là elles ont les capacités pour l'utiliser, ou alors c'est inquiétant.

Il n'est plus possible de commenter cette actualité.