Le prix de l'innovation des assises de la sécurité est attribué à un logiciel libre

Posté par (page perso) . Modéré par patrick_g.
Tags :
6
14
juil.
2010
Sécurité
Depuis 2001, les Assises de la Sécurité et des Systèmes d’Information réunissent un millier de professionnels : 600 DI, DSI, RSSI, Risk managers et experts sont présents, soit la quasi-totalité des décisionnaires grands comptes stratégiques des secteurs publics et privés.

Le Lauréat 2010 est le logiciel Digital Forensics Framework développé par la société ArxSys spécialisée dans l'informatique légale.

L'article bien documenté de l'AFUL insiste particulièrement sur le fait que c'est la première fois en près de dix ans qu'un logiciel libre est primé par cette institution. Cela montre non seulement que les logiciels libres sont performants (nous le savions déjà !) mais aussi que leur crédibilité a atteint les milieux d'affaires privés et publics.

NdM : on peut traduire le nom du logiciel par « ensemble d'outils numériques pour la criminalistique », donc l'étude après-coup des fichiers après erreur ou plantage, la recherche et l'analyse d'éléments de preuves.
  • # Et ça fait quoi ?

    Posté par . Évalué à 7.

    Heeu la fatigue probablement mais ça fait trois fois que je relis et je ne sais toujours pas ce que fait ce damné logiciel (qui a été primé) ... ni même ne serait-ce que sa licence !?
    • [^] # Re: Et ça fait quoi ?

      Posté par (page perso) . Évalué à 3.

      Bonne question. C'est assez bien décrit dans le document AFUL, mieux à mon avis que sur le site de ArxSys !
      Je pense que le mieux serait de pouvoir lire le dossier qui a conduit à l'attribution du prix.
    • [^] # Re: Et ça fait quoi ?

      Posté par . Évalué à 6.

      D'après leur site, c'est un logiciel en GNU GPLv2. Par contre leur site et le communiqué de presse ne parle que d'Open Source, le côté « libre » ne semble pas vraiment mit en avant. Le fait de devoir donner une adresse mail pour télécharger les sources est un peu désagréable.

      Pour ce qu'il fait, j'ai pas encore bien compris non plus. A première vue il analyse des logs pour fournir la preuve d'une agression, mais c'est vraiment à première vue...
    • [^] # Re: Et ça fait quoi ?

      Posté par . Évalué à 10.

      Bonjour,

      Suite à vos commentaires, nous nous devons d'apporter quelques précisions... En effet, les sites ne sont pas très explicites à l'heure actuelle mais nous allons prochainement rectifier le tir en sortant une nouvelle mouture plus claire et plus détaillée.

      Tout d'abord, concernant la licence, c'est bel et bien une licence GPLv2.

      Concernant le mail pour le téléchargement, il n'est pas obligatoire, et si vous le renseignez, vous recevrez des news sur les releases et autres informations autour du projet. La prochaine version du site sera plus claire à ce niveau là.

      Maintenant quelques précisions au niveau du framework. L'objectif est de fournir un environnement modulaire destiné à la recherche de traces suspicieuses disséminées sur un ou plusieurs fichiers émanant aussi bien de la copie de supports numériques (disques durs, smartphones, RAM) que de la capture de paquets réseaux. C'est une sorte de Metasploit destiné à l'expertise technico-légale.

      Par exemple, dans le cas d'un "dump" de disque dur, vous allez pouvoir appliquer un module prenant en charge les partitions. Celui-ci va créer des fichiers (Nodes) au sein du système de fichiers virtuels (VFS) du framework. Ces fichiers correspondent aux différentes partitions qui auront été retrouvées (ainsi que les espaces non alloués où peuvent se cacher des données). A partir de ces derniers, il est possible d'appliquer de nouveaux modules comme par exemple le système de fichiers FAT qui créera à son tour des nouveaux fichiers (fonctionnalité de "stackable VFS") qui génèrera l'arborescence classique (telle que montée sous Linux ou Windows) mais également les fichiers effacés, le "slack space", etc.

      Au fur et à mesure, il est donc possible, sans jamais avoir à extraire, d'appliquer des modules qui vont reconstruire des volumes, des systèmes de fichiers, les processus d'un "dump" de RAM (fonctionnalité basée sur l'intégration du framework open source d'analyse de RAM Volatility).

      En plus de ces modules, d'autres permettent d'analyser différentes informations, comme les metadonnées contenues dans une image (EXIF), générer une "timeline" représentant les temps de créations, d'accès, de modifications (MAC times), etc. Vous trouverez également un visualisateur (et non éditeur) hexadécimal.

      Une fonctionnalité de carving (balayage du "dump" à la recherche d'entêtes connues: JPEG, DOC, AVI, ...) est également proposée pour récupérer les données en s'abstrayant du système de fichiers sous-jacent.

      Pour résumer, le framework peut-être utilisé pour un cas de récupération de données mais également pour analyser plus en profondeur le contenu d'un media à la recherche de traces suspicieuses (attaques d'un serveur, fraudes numériques, ...)

      Pour l'interaction avec le framework, deux interfaces sont fournies: ligne de commandes et interface graphique.

      Côté développement, deux langages sont utilisés: C++ et Python. L'API est principalement développée en C++ par soucis de performance. L'utilisation du Python est présente dans les IHM ainsi que certains modules. L'avantage du Python est de permettre de développer rapidement, mais également de scripter à chaud dans le framework.

      La prochaine release sera l'occasion d'apporter de nouvelles fonctionnalités tant sur les modules que sur l'API mais également de proposer un peu plus de documentation et d'exemples d'utilisation.

      En espérant que ces quelques précisions vous seront utiles, n'hésitez pas à passer sur notre channel IRC ou à nous envoyer un mail pour de plus amples informations.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.