Forensic : l’anssi libère L’ORC
L'agence nationale de la sécurité des systèmes d'information a publié sous licence libre, fin septembre, un de ses outils. Utilisé en interne depuis 2011, ORC ( Outil de recherche de compromission) est conçu pour l'investigation numérique sur un parc sous Windows.
À nouveau, l’anssi verse en Open Source l’un de ses projets. Cette fois- ci, c’est un logiciel de collecte forensique que l’agence publie sous licence LGPL 2.1. DFIR ORC, pour Outil de recherche de compromission, est un ensemble d’outils dédié à la collecte de données forensiques ( métadonnées, registres, journaux d’événements…) dans un environnement Microsoft Windows. Créé en 2011, ce programme interne à l’anssi a été mis au point par l’agence afin de répondre aux APT ( Advanced Persistent Threats) et a évolué au fil des années pour devenir un logiciel stable « utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident » , explique l’anssi.
Ce faisant, ORC s’appuie sur un ensemble d’outils ( Fatinfo, Getsamples, Getthis, NTFSINFO, Objinfo ou encore USNINFO) afin de réaliser un snapshot de l’état du parc à un instant t. Attention néanmoins, il ne s’agit pas d’un outil d’analyse desdites données, l’anssi laissant cette tâche aux spécialistes en la matière. En outre, il ne s’adresse pas au tout- venant : DFIR ORC n’est pas directement utilisable et se présente comme un framework qui nécessite un certain travail de compilation et de configuration. Mais, modulaire, il permet l’incorporation d’autres outils, notamment de programmes d’analyse. « DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées » , ajoute l’anssi.
Une communauté D’ORC
Son code source, sa procédure de compilation et la documentation utile – incluant un tutoriel complet et le détail des différents outils – ont été publiés sur Github par l’anssi, sous une licence GNU permettant une réutilisation, y compris dans des programmes propriétaires. L’agence indique que DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement. Mais le choix de l’open Source n’est pas anodin et participe à la démarche que l’anssi met en oeuvre depuis plusieurs années, qui a vu les projets Wookey ( disque dur externe) et Clip OS ( système d’exploitation) être libérés par l’autorité française en charge de la sécurité des systèmes d’information. Objectif : faire émerger une communauté d’utilisateurs et de développeurs autour D’ORC, de sorte à enrichir l’outil. « À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière » , ajoute François Deruty, le sous- directeur Opérations de l’anssi. L’agence précise qu’elle n’abandonne pas pour autant ses travaux sur ORC et qu’elle en poursuivra le développement, promettant des mises à jour régulières. ✖