ArxSys : Prix des Assises de la Sécurité 2010

Actualités - Récompense - Posté on 06 Juil 2010 at 11:27 par Solange Belkhayat-Fuchs

ArxSys vient de remporter le Prix 2010 de l’innovation décerné par le Cercle Européen de la Sécurité et des Systèmes d’Information. A peine un entrefilet sur le site du Cercle, mais une histoire passionnante qui nous conduit dans les armureries logicielles secrètes des « Experts » qui luttent contre la cyber-délinquance.

Comme dans bien des histoires de sécurité, tout a commencé il y a trois ans dans les murs de l’Epitech. « C’est là que nous nous sommes rencontrés », explique Solal Jacob. L’un y donnait des cours, l’autre travaillait sur le laboratoire Open Source de l’école, tous se sont retrouvés sur ce qui était à l’origine un projet de travail étudiant. Tous, ce sont Frédéric Baguelin, Christophe Malinge, Jeremy Mounier et bien sûr Solal Jacob. Le but de l’équipe : mettre au point un « environnement » destiné à la recherche de preuve. Une sorte de Metasploit de l’analyse forensique, en quelques sortes.

Rapidement, le projet prend de l’ampleur, tourne au chantier de développement, cherche (et trouve) des appuis techniques auprès notamment de l’Ircgm, les gendarmes du Fort de Rosny. De développement, le projet devient un « programme fonctionnel », à qui il ne manque qu’une structure. La décision est prise de passer au stade supérieur, avec une enseigne, une raison sociale, une infrastructure qui sera capable de mettre sur le marché une version commerciale de l’outil. ArxSys est créée grâce à l’incubateur Paris Développement et le projet a enfin un nom. Ce sera DFF, pour Digital Forensics Framework .

« Ce qui est important , insiste Solal Jacob, c’est que l’outil reste dans la sphère Open Source et qu’il continue à évoluer comme tel. Il est d’ailleurs disponible en téléchargement sur le site Digital Forensic.org ». Les informations et échanges de la communauté de développeurs sont assurés par trois mailing lists différentes.

Qu’est-ce que fait ce logiciel ? Tout et rien à la fois, comme la quasi-totalité des « framework ». C’est avant tout un cadre de travail qui, à l’image de ses cousins éloignés tel Metasploit, est constitué de séries de « modules » d’analyse. Sans ces modules, FDD n’est rien. Ces pièces maîtresses sont lancées, « scriptées » et exécutées de manière automatisée. Modules qui, eux aussi, peuvent être écrits, inventés, pour des besoins d’enquêtes spécifiques. Soit en C++, soit en Python (deux classiques des frameworks ). L’environnement ne se limite donc pas à une simple interface graphique d’intégration et d’un patchwork de routines et d’exécutables. Il intègre même plusieurs outils de développement nécessaires à la fabrication de nouveaux blocs-programmes.

Plus concrètement, les principaux modules déjà disponibles servent essentiellement à analyser différents systèmes de fichiers. DFF encapsule également Volatility, un autre environnement d’analyse et de recherche de preuve, mais spécialisé quant à lui dans le domaine des espaces mémoire (outil également scripté en Python d’ailleurs). Une future version devrait même intégrer un module spécialisé dans l’examen des mémoires de téléphones portables.

Les résultats du travail effectué par ces différents logiciels sont, une fois la batterie de tests achevée, concentrés dans un outil de reporting, lequel a trois utilités : l’une, évidente, est de réunir et synthétiser les résultats pour que le technicien-enquêteur puisse travailler sur ces éléments, l’autre est de pouvoir générer des résultats ordonnés qui pourront être directement exploités dans un rapport d’expertise tel qu’exigé dans le cadre de toute enquête de police. La troisième enfin, est de pouvoir fournir une traçabilité précise des enchaînements d’opérations, logs qui prouveront que le déroulement des opérations a été effectué de manière conforme et donc « recevable » devant un tribunal.

Mais si tout est « open » et gratuit, comment comptent vivre les créateurs d’ArxSys ? « Grâce aux offres dérivées, explique Solal Jacob. Des cours de formation, tout d’abord, car l’utilisation d’un tel outil n’est pas franchement triviale. Si des experts peuvent rapidement maîtriser cette suite de logiciel perpétuellement enrichie, ce ne sera pas obligatoirement le cas des RSSI et hommes micro des entreprises. Car nous avons voulu développer un outil qui ne soit pas l’arme élitiste d’une minorité. Ces formations ne seront d’ailleurs pas uniquement techniques. Il est important que chaque usager puisse savoir les erreurs à ne pas commettre, les actions qui pourraient oblitérer la recevabilité d’une preuve »

Outre ces cours de formation, ArxSys développera une activité de support logiciel ainsi que la maîtrise d’œuvre de développements spécialisés demandés par tel ou tel client. Et dans la matière, les demandes de chaque « client » (force de police ou cabinet d’expertise) sont souvent très « pointues ».

Laisser une réponse