Forensic : l’ANSSI libère l’ORC

L’ANSSI vient de publier sous licence libre son outil DFIR ORC (pour Outil de Recherche de Compromission), destiné à « la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows » et utilisé depuis 2011 au sein de l’Agence.

L’ANSSI poursuit ses efforts dans l’open source en ouvrant un autre outil de son arsenal. Cette fois-ci, c’est un logiciel de collecte forensique que l’agence publie sous licence LGPL 2.0. DFIR ORC, pour Outil de Recherche de Compromission, a été créé en 2011 et « utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident » explique François Deruty, sous-directeur Opérations de l’ANSSI.

ORC permet, à un instant t, de collecter les données forensiques d’un parc sous Windows, une capture de l’état du parc en quelque sorte. Il ne s’agit toutefois pas d’un outil d’analyse desdites données, l’ANSSI laissant cette tâche aux spécialistes en la matière. Pour autant, ORC a été développé de manière à être modulaire et à pouvoir s’intégrer à d’autres outils, et c’est justement là une des raisons de son passage à l’open source.

Un ORC à la collecte

Son code source, sa procédure de compilation et de la documentation ont été publiés sur GitHub par l’ANSSI, qui explique que l’outil « s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s'en inspirer ou contribuer à son développement ». « À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière » ajoute François Deruty.