La NSA publie Ghidra, son outil gratuit de rétroingénierie logicielle
Le 06 mars 2019 à 09h45
2 min
Logiciel
En pleine conférence RSA, la NSA a annoncé la publication de son outil Ghidra, spécialisé dans la rétroingénierie. L’agence américaine souhaite que les analystes de malwares s’en emparent, se fassent à son usage avant éventuellement de venir postuler.
Cette arrivée est un évènement, attendue depuis le début de l’année quand les rumeurs ont commencé à l’évoquer. Un outil complet de rétroingénierie logicielle est en effet une aubaine, Ghidra jouant dans la même cours qu’IDA Pro, dont la licence coûte des milliers de dollars par an.
Développé en Java et fonctionnant sous Linux, mac OS et Windows, Ghidra est proposé gratuitement. Mieux, dans « un futur proche », son code source sera publié sur le dépôt GitHub de la NSA, assorti d’une licence open source (Apache 2.0 a priori).
Les architectures supportées sont très nombreuses, comme le signale Rob Joyce, de la NSA : x86 16/32/64, arm/Aarch64, PowerPC 32/64, VLE, MIPS 16/32/64, micro, 68xxx, Java/DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8 ou encore AVR32, la liste n’étant pas exhaustive.
L’outil se télécharge directement depuis site de la NSA et se présente comme une archive Zip à décompresser sur le disque, sans installation classique. Comme noté par le chercheur en sécurité Silas Cutler, la documentation de Ghidra fournit même des conseils pour transiter depuis IDA Pro.
Pour l’instant, l’outil semble recevoir les éloges de nombreux chercheurs, y compris de Tavis Ormandy de chez Google, connu pour avoir trouvé de nombreuses vulnérabilités.
Le 06 mars 2019 à 09h45
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/03/2019 à 09h54
#1
En attendant que le code soit sur GitHub, ça me viendrai pas à l’esprit d’installer un truc proposé par la NSA :p
Le 06/03/2019 à 10h04
#2
Tu peux toujours l’installer sur une machine offline
Le 06/03/2019 à 10h53
#3
Développé en Java, tu peux tenter une décompilation - si le code n’est pas masqué ça peut te donner une idée.
Le 06/03/2019 à 11h00
#4
Le 06/03/2019 à 11h01
#5
Bizarrement, je n’arrive pas à faire confiance …
Le 06/03/2019 à 11h07
#6
Moi non plus, mais je ne doute pas que le logiciel va être trituré dans les semaines qui viennent.
Le 06/03/2019 à 11h17
#7
Le problème n’est pas de l’avoir sur gitHub mais que quelqu’un relise et teste ce code. Un quelqu’un de confiance. C’est pas gagné.
Le 06/03/2019 à 11h25
#8
Bah quelqu’un y a déjà trouvé une porte dérobée …
https://twitter.com/hackerfantastic/status/1103087869063704576
Le 06/03/2019 à 11h26
#9
Cet outil a l’air vraiment puissant , mais faites attention en l’utilisant en mode debug, il ouvre le port 18001 à toutes les IP et permet de lancer du code à distance , ici il est conseillé de modifier ça avant de l’utiliser :https://twitter.com/hackerfantastic/status/1103087869063704576?s=21Edit : Damn, grilled " />
Le 06/03/2019 à 11h33
#10
Le public pouvant être intéressé par ce soft est justement des personnes capables de faire cette lecture et analyse du logiciel. De plus, ce sont des gens qui font sûrement attention à ce qu’elles installent sur leurs machines. Je suis bien plus optimiste que vous sur ce sujet.
Rien que cela devrait éviter que la NSA prenne le risque de fournir un logiciel en open source qui aurait des fonctionnalités cachées.
Le 06/03/2019 à 11h37
#11
Ce n’est pas une porte dérobée, mais une fonction du mode debug.
Il y a peu de raison d’utiliser le mode debug tant que l’on n’a pas les sources et quand on les a, il est facile de changer les IP acceptées sur ce port.
Le 06/03/2019 à 11h55
#12
Or la fonction doit limiter l’ouverture du port à seulement 127.0.0.1, au lieu de n’importe quelle adresse.
Et c’est ce que pointe le chercheur du doigt.
Le 06/03/2019 à 12h16
#13
Le 06/03/2019 à 13h18
#14
Le 06/03/2019 à 14h23
#15
Tous les grands noms du domaine de la sécurité vont bien sûr jeter un oeil à ce code.
Le 06/03/2019 à 15h33
#16
Ils ont corrigé quasiment tous les problèmes d’IDA et le décompilateur semble vraiment aboutit.
Cela va faire très mal à IDA.
Le 06/03/2019 à 16h04
#17
Et c’est une très bonne chose
Le 06/03/2019 à 20h55
#18
Et voilà comment en un clic IDA passe d’incontournable à dépassé
Le 07/03/2019 à 12h27
#19
Le 07/03/2019 à 14h00
#20
Le 08/03/2019 à 11h15
#21