juillet 6th, 2010

ArxSys vient de remporter le Prix 2010 de l’innovation décerné par le Cercle Européen de la Sécurité et des Systèmes d’Information. A peine un entrefilet sur le site du Cercle, mais une histoire passionnante qui nous conduit dans les armureries logicielles secrètes des « Experts » qui luttent contre la cyber-délinquance.

Comme dans bien des histoires de sécurité, tout a commencé il y a trois ans dans les murs de l’Epitech. « C’est là que nous nous sommes rencontrés », explique Solal Jacob. L’un y donnait des cours, l’autre travaillait sur le laboratoire Open Source de l’école, tous se sont retrouvés sur ce qui était à l’origine un projet de travail étudiant. Tous, ce sont Frédéric Baguelin, Christophe Malinge, Jeremy Mounier et bien sûr Solal Jacob. Le but de l’équipe : mettre au point un « environnement » destiné à la recherche de preuve. Une sorte de Metasploit de l’analyse forensique, en quelques sortes.

Rapidement, le projet prend de l’ampleur, tourne au chantier de développement, cherche (et trouve) des appuis techniques auprès notamment de l’Ircgm, les gendarmes du Fort de Rosny. De développement, le projet devient un « programme fonctionnel », à qui il ne manque qu’une structure. La décision est prise de passer au stade supérieur, avec une enseigne, une raison sociale, une infrastructure qui sera capable de mettre sur le marché une version commerciale de l’outil. ArxSys est créée grâce à l’incubateur Paris Développement et le projet a enfin un nom. Ce sera DFF, pour Digital Forensics Framework .

« Ce qui est important , insiste Solal Jacob, c’est que l’outil reste dans la sphère Open Source et qu’il continue à évoluer comme tel. Il est d’ailleurs disponible en téléchargement sur le site Digital Forensic.org ». Les informations et échanges de la communauté de développeurs sont assurés par trois mailing lists différentes.

Qu’est-ce que fait ce logiciel ? Tout et rien à la fois, comme la quasi-totalité des « framework ». C’est avant tout un cadre de travail qui, à l’image de ses cousins éloignés tel Metasploit, est constitué de séries de « modules » d’analyse. Sans ces modules, FDD n’est rien. Ces pièces maîtresses sont lancées, « scriptées » et exécutées de manière automatisée. Modules qui, eux aussi, peuvent être écrits, inventés, pour des besoins d’enquêtes spécifiques. Soit en C++, soit en Python (deux classiques des frameworks ). L’environnement ne se limite donc pas à une simple interface graphique d’intégration et d’un patchwork de routines et d’exécutables. Il intègre même plusieurs outils de développement nécessaires à la fabrication de nouveaux blocs-programmes.

Plus concrètement, les principaux modules déjà disponibles servent essentiellement à analyser différents systèmes de fichiers. DFF encapsule également Volatility, un autre environnement d’analyse et de recherche de preuve, mais spécialisé quant à lui dans le domaine des espaces mémoire (outil également scripté en Python d’ailleurs). Une future version devrait même intégrer un module spécialisé dans l’examen des mémoires de téléphones portables.

Les résultats du travail effectué par ces différents logiciels sont, une fois la batterie de tests achevée, concentrés dans un outil de reporting, lequel a trois utilités : l’une, évidente, est de réunir et synthétiser les résultats pour que le technicien-enquêteur puisse travailler sur ces éléments, l’autre est de pouvoir générer des résultats ordonnés qui pourront être directement exploités dans un rapport d’expertise tel qu’exigé dans le cadre de toute enquête de police. La troisième enfin, est de pouvoir fournir une traçabilité précise des enchaînements d’opérations, logs qui prouveront que le déroulement des opérations a été effectué de manière conforme et donc « recevable » devant un tribunal.

Mais si tout est « open » et gratuit, comment comptent vivre les créateurs d’ArxSys ? « Grâce aux offres dérivées, explique Solal Jacob. Des cours de formation, tout d’abord, car l’utilisation d’un tel outil n’est pas franchement triviale. Si des experts peuvent rapidement maîtriser cette suite de logiciel perpétuellement enrichie, ce ne sera pas obligatoirement le cas des RSSI et hommes micro des entreprises. Car nous avons voulu développer un outil qui ne soit pas l’arme élitiste d’une minorité. Ces formations ne seront d’ailleurs pas uniquement techniques. Il est important que chaque usager puisse savoir les erreurs à ne pas commettre, les actions qui pourraient oblitérer la recevabilité d’une preuve »

Outre ces cours de formation, ArxSys développera une activité de support logiciel ainsi que la maîtrise d’œuvre de développements spécialisés demandés par tel ou tel client. Et dans la matière, les demandes de chaque « client » (force de police ou cabinet d’expertise) sont souvent très « pointues ».

La maîtrise ultime de la voie du sabre, c’est de vaincre sans même avoir eu à combattre ni à tirer la lame de son fourreau. Un article du WSJ laisserait entendre que le programme F35, l’avion de chasse le plus sophistiqué que les USA aient développé jusqu’à ce jour, serait probablement sur le point d’être abandonné. Ceci en raison des « progrès fulgurants qu’auraient réalisé la Chine en matière militaire ». En lisant entre les lignes, le F35 n’apporterait que trop peu de supériorité tactique sur un terrain d’opération et compte tenu de son prix. Constatation étrange lorsque l’on sait les prodiges de technologie en matière de furtivité, d’agilité, de systèmes d’armes qu’intègre la fabrication d’un tel vecteur.

Déjà, le mois dernier, un article de Defense News laissait prévoir une baisse des commandes (originellement prévues à hauteur de 2500 appareils). Les raisons invoquées étaient déjà les mêmes, mais avec un peu plus de précision cependant. L’armée Chinoise pourrait disposer de systèmes de détection, contre-mesures et de défense (missiles notamment) capables de contrer tous les gadgets les plus sophistiqués de la famille F35. Or, la mise au point de ces radars hautement perfectionnés ne peut se faire sans une idée relativement précise des capacités des appareils ennemis. En d’autres termes, si les ingénieurs Chinois savent comment contrer le F35, c’est qu’ils en possédaient les plans depuis déjà relativement longtemps. Rappelons que cette affaire survient alors qu’un réseau d’espionnage Russe opérant sur le territoire américain vient d’être démantelé, brouillant singulièrement les cartes du jeu diplomatique.

Et Richard Bejtlich, du blog TaoSecurity, d’exhumer les origines de l’histoire. Encore dans le WSJ d’ailleurs, dans un article remontant au mois d’avril dernier, qui révèle une intrusion dans les systèmes informatiques du Pentagone (précisément ceux stockant les informations du projet F35) ainsi que dans les systèmes du réseau de contrôle du trafic de l’Air Force. Un projet d’armement de plus de 300 millions de dollars a donc été totalement réduit à néant à la simple force du clavier. Les militaires se sont faits battre par quelques barbouzes et un escadron de geeks.