Open source : l’Anssi poursuit sa politique d’ouverture

L’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient de rendre disponible, en open source, sur Github, son outil DFIR Orc de collecte de données d’investigation. Dans un communiqué de presse, l’Anssi explique que cet outil a été initialement conçu en 2011 pour répondre à ses « missions opérationnelles […] en matière d’investigation et de réponse à incident ». Au fil des années, il a naturellement évolué pour regrouper, aujourd’hui, tout ce qui peut être nécessaire à « la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows, à l’échelle d’un parc entier ». Selon François Deruty, sous-directeur Opérations de l’Anssi, DFIR Orc « a été utilisé sur plus de 150 000 postes ».

DFIR Orc a des airs de couteau suisse. Sa description le présente comme largement modulaire, « réutilisant des outils existants ou indépendants et les unissant sous la direction d’un moteur d’exécution qui permet plus de contrôle ». Un fichier de configuration XML permet en fait de désigner les composants à exécuter, et suivant quels paramètres.

De base, l’Anssi présente DFIR Orc entouré d’outils visant à aider à la recherche d’indicateurs de compromission, la collecte d’informations critiques sur les périphériques de stockage et leurs systèmes de fichiers, ou encore sur le registre. Sont supportées les versions de Windows depuis XP SP2 jusqu’à 10, et de Server 2003 R2 SP3 à 2019.

Dans son communiqué de presse, l’Anssi indique « souhaiter encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités ». Avec cela, l’agence se donne également les moyens de laisser des tiers se former eux-mêmes à ses outils, des compétences qui ne manqueraient pas de pouvoir lui être utiles en cas de réponse à incident, ni même de profiter à l’ensemble de la communauté de la cybersécurité hexagonale.

L’an dernier, aux Assises de la Sécurité, Guillaume Poupard, patron de l’Anssi, nous avait indiqué que « la logique de l’open source est dans l’ADN de l’agence ». Cette dernière contribue ainsi au développement de l’IDS Suricata et partage de nombreux projets en open source, que ce soit son système d’exploitation durci Clip OS ou plus récemment son projet Wookey de disque externe sécurisé. Et avec DFIR Orc, l’agence concrétise une promesse formulée par son directeur général en conférence de presse, il y a presque un an.