Fort de son succès dans l’open source, l’ANSSI (Agence nationale de sécurité des systèmes d’information) récidive avec cette fois un logiciel forensique. Baptisé DFIR ORC pour « outil de recherche de compromission », l’autorité dirigée par Guillaume Poupard met à disposition un ensemble d’outils pour réaliser une analyse post-mortem dans le cas d’une réponse à incident.

Disponible pour les environnements Windows, ce jeu d’outils permet la recherche, l’extraction et la mise à disposition des données forensiques. « Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

Des instantanées pour des preuves

Les outils sont disponibles sur GitHub à cette adresse. Sur cette page, l’Agence explique que ce logiciel collecte les données mais ne l’analyse pas. De même, il ne prend pas la place des IDS et des IPS dans l’observation des attaques. Les solutions de forensiques capturent des instantanées sur les environnements Windows. L’objectif est donc d’obtenir des preuves dans les meilleures conditions possibles, sans impacter l’environnement de production. Dans le cadre d’une procédure judiciaire, la question des preuves cyber est particulièrement importante.

En mettant à disposition de la communauté, l’ANSSI  souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités.