Vincent Strubel nous parle de la politique open source de l'ANSSI

Vincent Strubel nous parle de la politique open source de l’ANSSI

« Est-ce qu’on rend service aux gentils ou aux méchants ? »

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

10/10/2019
5
Vincent Strubel nous parle de la politique open source de l'ANSSI

Dans le sillage de la libération du code de l'outil DFIR Orc, nous nous sommes entretenus avec l'un des sous-directeurs de l'agence française pour un point d'étape sur ses rapports avec l'open source.

L’Agence nationale de la sécurité des systèmes d'information a publié récemment, sous licence LGPL 2.1, un autre de ses outils. Après le système d’exploitation ClipOSWookey et OpenCTI, DFIR Orc a révélé ses « entrailles ». C’est le quatrième projet de taille à être publié par l’ANSSI en deux ans, même si l’agence est une habituée de l’open source depuis une décennie.

Orc est pour rappel une trousse à outils (presque une infrastructure) conçue pour relever dans de grands parcs informatiques des données forensiques au cours d’une expertise, quand il y a suspicion d’intrusion.

Nous avons donc voulu en savoir davantage sur cet outil, les attentes de l’ANSSI dans ce domaine, ses rapports avec le monde de l’open source et ses projets à long terme. Nous nous sommes entretenus sur ces sujets avec Vincent Strubel, sous-directeur Expertise.

Quels types d'informations est capable de trouver Orc plus précisément ?

C’est un outil configurable, donc on peut lui faire faire à peu près tout ce qu’on veut. La finalité est de trouver des artefacts, des traces subtiles qui auraient pu être laissées dans un parc de grand volume après une intrusion ou l’attaque d’un malware.

La situation de départ, c’est qu’on sait en général qu’il y a quelque chose de louche, mais on ne sait pas quoi. On lance donc un outil comme Orc, qui ne va pas identifier un programme du type « Virus.exe », mais relever des traces particulières dans les métadonnées, dans les journaux du système, des modifications dans certains fichiers, des éléments troubles dans la liste des processus, des processus avec des droits bizarres, des changements dans des droits d’accès, etc.

Ça peut aussi être des incohérences dans la manière dont un élément va répondre à deux requêtes strictement identiques, ou en réponse à une requête spécifiquement formulée. Ce n’est pas Orc qui va s’occuper directement de ce genre d’opérations, il est là pour lier les outils les uns avec les autres.

Ces informations sont collectées à grande échelle. On va chercher globalement tout ce qui ressemble à l’activité de quelqu’un qui aurait voulu effacer ses traces. C’est là qu’Orc fait toute la différence, parce que relever manuellement les informations sur 100 000 machines, c’est compliqué.

Les enquêteurs doivent donc avoir une idée de ce qu’ils cherchent et avoir d’autres outils pour analyser les données obtenues…

Tout à fait. Ce sont en général des ensembles assez volumineux, mais c’est tout l’avantage d’un outil comme Orc, parce qu’il est adaptable à presque tous les cas de figure.

On a parfois une forte suspicion de ce qu’on va trouver. Si vous avez déjà une idée du mode opératoire, vous resserrez la recherche sur des éléments plus précis. Dans d’autres cas, on ne sait pas, on fait de la « pêche au chalut » en quelque sorte, une recherche la plus large possible dans l’espoir de trouver quelque chose.

C’est ensuite à l’analyste, avec d’autres outils, de recouper tout ça avec des modes opératoires connus, des codes d’attaques connus, des scénarios identifiés a priori.

Quel risque pour une personne malintentionnée d’utiliser ce type d’outil ?

De manière générale, toutes nos publications open source sont mûrement réfléchies. On a depuis toujours un processus de revue de ce qu’on publie, d’autorisations un peu formelles. Ce n’est pas pour le plaisir de la bureaucratie, mais pour vérifier deux ou trois choses fondamentales.

La première est qu’on respecte toutes les questions de propriété intellectuelle. Pas question d’exposer des agents à des situations de contentieux. Ensuite, on vérifie que ce qu’on publie est conforme avec la mission fondamentale de l’ANSSI qui est de relever la sécurité numérique des administrations et des opérateurs d’importance vitale notamment.

On ne publie le code que quand on est convaincus que ça aura un effet positif. On se pose la même question pour nos publications scientifiques : « Est-ce qu’on rend service aux gentils ou aux méchants ? »

Dans le cas d’Orc, on peut publier sans risque, on ne voit pas bien quel avantage aurait un attaquant, pour deux raisons essentielles. Déjà, Orc est conçu pour fonctionner avec l’accord de la structure concernée et les administrateurs. Un attaquant qui aurait déjà ce niveau d’entrée dans un parc n’aurait pas besoin de notre outil. Ensuite, Orc est taillé pour la collecte de métadonnées, pas des données elles-mêmes.

Pourquoi le choix de la LGPL 2.1 pour la licence d’Orc ?

(Rires)

Il faudrait que je me renseigne plus en détails sur cette question. Je me souviens qu’à une époque on a beaucoup débattu sur les choix de GPL en 2.1 ou 3.0. On est restés sur la 2.1 qui nous paraissait plus souple.

Il fallait que ça réponde pour nous à deux objectifs : que ce soit réutilisable, et aussi – c’est un peu plus égoïste – que l’on puisse profiter des retours engendrés par ces utilisations. On préfère donc une licence qui oblige à partager les modifications faites qu’une licence comme BSD qui permettrait à chacun de reprendre le code à sa sauce, sans obligation derrière.

Quelles sont les attentes de l’ANSSI suite à la libération de ce code ?

On publie du code open source depuis une dizaine d’années maintenant, mais c’est vrai qu’on a pris ce grand virage il y a deux ans de pousser les « joyaux de la couronne » en quelque sorte, des outils qu’on utilisait et développait en interne depuis longtemps.

On a donc publié de gros projets dans une logique communautaire. On essaie vraiment d’avoir cette démarche maintenant sur des projets « flagship » comme on dirait aujourd’hui : ClipOS, Wookey, OpenCTI et maintenant Orc.

L’idée, c’est à la fois de participer à un effort collectif absolument indispensable vu l’ampleur du défi, et une forme de maturité ou d’humilité, de se dire que nous n’avons pas science infuse, et que les usages auxquels on a pensé peuvent répondre à des tas d’autres cas.

On fait des choses imparfaites comme tout le monde, donc publier et maintenir en open source des projets largement utilisés, c’est une manière de les améliorer, de créer une émulation.

Le choix de l’anglais pour la présentation du projet sur GitHub n’est pas anodin…

Oui, si on veut une utilisation la plus large possible. La stratégie de l’ANSSI s’inscrit dans un cadre national et international, depuis longtemps. On publie depuis toujours de nombreux articles scientifiques, entre 40 et 50 par an, et la plupart se retrouvent dans des conférences internationales. Pas de raison de se limiter au français donc.

Maintenant que des gros projets ont été publiés comme ClipOS et Wookey, y a-t-il eu des retours de la communauté ?

Réponse générale : oui. Plus particulièrement, il faut savoir que certains projets comme ClipOS ont été confinés pendant très longtemps. Une grande partie des informations étaient classifiées, donc on a franchi une étape significative.

En termes de retours, on a surtout eu des rapports de bugs, de gens qui avaient cherché à le recompiler ou l’adapter à d’autres usages. Pour Wookey, on a même des entreprises qui sont venues nous voir pour reprendre ça dans leurs produits. Sur OpenCTI, on avait déjà des retours avant même la publication parce qu’on était dans une logique collaborative.

Pour Orc, je pense que c’est un peu trop nouveau pour avoir autre chose que des réactions et questions initiales comme le choix du langage. Mais la publication faisait suite notamment à des demandes en ce sens. Donc oui on imagine qu’il y aura des retours.

C’est l’avantage de publier un projet comme Orc : il est utilisé par des spécialistes qui ont déjà l’habitude de modifier leurs outils. Il ne faut pas oublier que c’est un outil susceptible d’être employé par des prestataires qu’on connait bien. Et l’ANSSI a mis en place depuis longtemps des qualifications. Et derrière ces qualifications, il n’y a pas qu’un examen, il y a aussi une émulation collective autour des outils avec partages d’informations.

On est un peu sur des prestataires qui font le même métier que l’ANSSI. La charge de travail est telle que nous avons tout intérêt à se partager les informations.

Quels sont les plans à long terme de l’ANSSI avec l’open source ?

On a pris ce virage maintenant et on va continuer à publier. Je ne sais pas s’il nous reste encore en soute des gros projets comme ceux publiés ces deux dernières années.

Par contre, pour tous les nouveaux projets, je ne vois aucune raison de ne pas les lancer directement en open source.

Tout ça s’inscrit dans une réflexion plus générale sur la façon dont l’ANSSI peut être un contributeur utile et responsable à l’écosystème open source au sens large, notamment à des briques fondamentales et critiques. Il n’y a pas besoin de chercher longtemps pour en trouver, je parle de tout ce qui est bibliothèques de cryptographie, d’authentification, etc.

Ce sont quelque part des biens communs sur lesquels reposent d’autres projets open source ou la sécurité d’énormément de choses, notamment l’infrastructure d’Internet.

5
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Orange rhabillé pour l'hiver

11:39 DroitWeb 3
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

BAO (Bombardement assisté par ordinateur)

10:42 IA 3
Poing Dev

Le poing Dev – Round 7

Meuh sept super !

22:32 Next 45

Sommaire de l'article

Introduction

Quels types d'informations est capable de trouver Orc plus précisément ?

Les enquêteurs doivent donc avoir une idée de ce qu’ils cherchent et avoir d’autres outils pour analyser les données obtenues…

Quel risque pour une personne malintentionnée d’utiliser ce type d’outil ?

Pourquoi le choix de la LGPL 2.1 pour la licence d’Orc ?

Quelles sont les attentes de l’ANSSI suite à la libération de ce code ?

Le choix de l’anglais pour la présentation du projet sur GitHub n’est pas anodin…

Maintenant que des gros projets ont été publiés comme ClipOS et Wookey, y a-t-il eu des retours de la communauté ?

Quels sont les plans à long terme de l’ANSSI avec l’open source ?

Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 3
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 3

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 45
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 5

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

43
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

GTA VI

Rockstar met en ligne le trailer de GTA VI

Soft 27

Russian drone shot by the State Border Guard Service of Ukraine

La guerre électronique serait la plus grande faiblesse de l’Ukraine, et la principale force de la Russie

HardSécu 7

Debout, une femme en pull bleu montre à une autre, assise, quelque chose à son écran d'ordinateur.

Futur de l’IA : les femmes manquent dangereusement à l’appel

IASociété 6

Logo Spotify avec notes de musique

Spotify licencie 1 500 personnes de plus

ÉcoSociété 13

Wikipedia sombre

Wikipedia aura son thème sombre

Web 14

Commentaires (5)


crocodudule
Il y a 4 ans

J’adorerai savoir faire de l’analyse de données forensiques. Si vous vous sentez de faire un tuto sur la base des outils nécessaires et le travail sur les logs pour en sortir quelque chose, je suis plus que preneur.&nbsp;<img data-src=" />


coco74 Abonné
Il y a 4 ans

Tu peux essayer rootme, c’est sous forme de challenges, mais ensuite, pour la recherche, il y a souvent un peu de doc et un forum :)


crocodudule
Il y a 4 ans






coco74 a écrit :

Tu peux essayer rootme, c’est sous forme de challenges, mais ensuite, pour la recherche, il y a souvent un peu de doc et un forum :)


Merci, je vais regarder cette porte d’entrée sur le sujet <img data-src=" />



Angelblue Abonné
Il y a 4 ans

Sympa de voir qu’il soutienne l’open source. Cela fait plaisir.


anonyme_f6b62d162990fde261db0e0ba2db118e
Il y a 4 ans

Sympa l’interview <img data-src=" />