L’ANSSI libère les sources d’Orc, son outil de collecte de données forensiques

La semaine dernière, l’ANSSI libérait les sources d’un outil spécifique, DFIR Orc, conçu pour récupérer les données criminalistiques dans les parcs Windows. Des ambitions dans le logiciel libre associées à des attentes, car l’agence espère une émulation autour d’Orc.

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) a publié il y a une semaine sur son compte GitHub les sources d’Orc, pour « Outil de recherche de compromission ». Il a été conçu en 2011 et n’a, depuis, « cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows ».

Orc est capable de récolter des données sur des parcs entiers. Il a été développé dans le cadre de la lutte contre les APT (Advanced Persistent Threats), des attaques caractérisées par leur haut niveau de furtivité et la continuité. Elles sont le plus souvent le résultat de groupes de pirates très organisés, capables d’exploiter rapidement des failles de sécurité inconnues. Ce qui rend parfois complexe leur détection.

Des outils spécifiques de collecte, pas d'analyse

Ces outils sont clairement destinés aux professionnels de la sécurité informatique et n’ont rien de grand public. Ils ne peuvent d’ailleurs pas être utilisés tels quels et nécessite un fichier de configuration (au format XML). Ils permettent de connaitre l’état à un instant T d’un parc, mais ne s’occupent que de la récupération, non de l’analyse.

L’ANSSI assure qu’Orc réalise ses opérations « en minimisant l’impact sur [le] fonctionnement normal d’un parc Microsoft Windows » et « les risques d’altérations des données collectées ». Orc ne modifie ainsi pas la configuration des machines analysées.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident », indiquait dans un communiqué François Deruty, sous-directeur Opérations de l’ANSSI.

Un recours plus massif à l'open source

L’ANSSI s’investit en effet plus massivement dans le logiciel libre ces dernières années. Orc est publié sous licence LGPL 2.1, particulièrement souple puisqu’elle permet de lier le code open source à du code propriétaire, selon les besoins des développeurs. La version fournie est la 10.

Le choix de l’Agence de libérer les sources n’est en effet pas anodin. « À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière » ajoute François Deruty.

Plus précisément, l’ANSSI souhaite « l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités ». Enrichir Orc en partenariat avec les développeurs et chercheurs intéressés ? Précisément, l’agence ajoutant qu’elle « continuera à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil ».

Un cercle vertueux donc, déjà initié avec d’autres outils, notamment le système d’exploitation Clip OS et WooKey, un projet de disque externe sécurisé. Une manière également de créer une émulation autour de ses outils dédiés à la sécurité pour permettre, pourquoi pas, de repérer de nouveaux talents. L'utilisation de l'anglais dans les différents descriptifs n'est d'ailleurs pas anodine : autant favoriser la coopération internationale. 

Rappelons enfin que même si les dernières publications de l’ANSSI attirent le regard par leur ampleur, le dépôt GitHub de l’agence compte actuellement plus d’une quarantaine de projets open source, beaucoup en GPL 3.0, d’autres sous licence BSD.

Nous nous entretiendrons avec François Deruty sur le sujet, en marge des Assises de la sécurité de Monaco. 

• Dépôt GitHub des outils DFIR Orc
• Explications sur la configuration