Une des grandes tendances de l’année est également donnée par le prix des Assises 2010 qui récompense de jeunes entreprises en honorant le projet le plus innovateur en termes de sécurité. Le jury est composé essentiellement de grands noms du métier. Le choix s’est arrêté pour le crû 2010 sur ArxSys, une toute jeune pousse de moins d’un an d’existence. La spécialité même de cette entreprise est originale car ArxSys s’est lancé sur le créneau d’éditeur de logiciel de sécurité dédié au forensique. Un vieux terme français tombé en désuétude et remis au goût du jour par les anglo-saxons, et qui désigne la recherche de preuves effectuée dans le cadre d’une enquête.
Ils sont quatre jeunes diplômés, Frédéric Baguelin, Christophe Malinge, Jérémy Mounier et Solal Jacob, tous issus de l’école Epitech, à s’être associés pour fonder ArxSys (forteresse en latin). Quatre véritables passionnés qui ont travaillé tout le long de leurs études dans des laboratoires d’informatique, spécialisés en réseau ou dans l’open source avec un fort intérêt pour tout ce qui a trait à la sécurité. Et c’est d’ailleurs la magie de ce mélange qui a donné naissance à un projet d’étude sur deux ans centré sur la recherche de preuves. Un projet, l’on s’endoute, open source, le premier du genre dans ce domaine bien spécifique. Dès le départ, ces jeunes étudiants sont en effet ambitieux et désirent mettre sur pied une véritable plateforme forensique pour fédérer la kyrielle de petits outils existants dans le secteur. Autour de ce framework forensique, toutes sortes de modules pourront venir se greffer. Pour développer cette plate-forme et répondre aux besoins en la matière, l’équipe a travaillé pendant les deux ans de développement en partenariat avec la gendarmerie. Plus exactement avec l’IRCGN, Institut de Recherche Criminelle de la Gendarmerie Nationale, également des scientifiques qui utilisent en l’occurrence tous les jours ce genre d’outils et donc connaissent parfaitement les besoins en la matière.
Reconstituer l’historique des données
Au coeur du framework open source, du C++ et du Python, des langages objets et simples d’accès pour faciliter le développement aux programmeurs potentiels de nouveaux modules qui viendront se greffer sur la plateforme tels les pétales d’une marguerite. Ce concept tout nouveau permet de corréler de façon native et centrale toutes les informations issues des différents modules. Un pas en avant énorme car jusqu’à présent l’on savait récupérer les données perdues, effacées ou autres en provenance d’un téléphone (moins d’entreprises spécialisées sur ce créneau aujourd’hui que les doigts d’une seule main …) mais seulement d’un téléphone ou de tout autre équipement numérique. Point fort d’ArxSys, ces données remontées pourront dorénavant être corrélées d’emblée avec celles de tous les autres modules. Ainsi en plus d’informations en provenance d’un téléphone, on peut d’ores et déjà récupérer en même temps celles sur des machines informatiques, sur de la mémoire et même sur le réseau de l’entreprise grâce aux modules développés, entre autres, par la start-up. Ce qui pourrait permettre de reconstituer une espèce “d’historique” d’actes passés dans une entreprise voire sur les lieux d’un crime …
L’objectif de la plateforme est de récupérer les données perdues, effacées, d’étudier les méta-données des fichiers (date de création, numéro de série de l’appareil …), proposer la partie de corrélation des données, faire de la détection automatique de fichiers pour simplifier la tâche aux utilisateurs. Le framework est une API générale autour de laquelle des modules sont développées pour l’utiliser. Elle est dotée d’une interface graphique pour faciliter au maximum son utilisation. Au bout du compte après le passage par la fonction de corrélation, un rapport est émis. Pour rappel, pour que des preuves soient recevables, il faut travailler en entrée sur des copies des originaux.
Analyse en “live”
Dans les faits, les DSI ont généralement analysé le périmètre avant l’intervention et l’on sait quels éléments copier pour analyse mais il peut être nécessaire de travailler sur des parties, en “live” . Une analyse est alors lancée directement sur la machine, ce qui permet par la suite de déduire ce qu’il est nécessaire de copier pour procéder aux opérations à froid. La partie copie avant analyse ne concerne la plupart du temps que les affaires policières pour une question de recevabilité de preuve alors que dans le cadre d’un “Incidence Response” , fait plutôt courant surtout dans le milieu de l’entreprise notamment lors d’une attaque réseau, on procède généralement avec du “forensique in vivo” .
Si l’on considère le secteur de la recherche de preuves aujourd’hui, les trois grands concurrents d’ArxSys se répartissent aux Etats-Unis et en Allemagne (2 et 1 respectivement). Et si l’on regarde, cette fois, la carte des téléchargements du coeur open source, les préoccupations sont surtout dans les pays anglo-saxons et notamment aux US et en Angleterre mais également au Brésil et en Espagne. Cependant, en France et en Europe, le nombre de législations est en croissance, ce qui en fait des endroits géographiques désormais mûrs pour le marché du forensique. Par exemple, les entreprises pourraient être obligées de dire si elles se sont faites piratées d’ici peu comme dans bien d’autres pays tels les US et de contacter tous les clients potentiellement atteints. Un renseignement que pourrait fournir un framework tel que celui d’Arxsys puisque qu’il est capable, par exemple, de délimiter le périmètre d’une attaque …
