LA NATIONAL SECURITY Agency développe en interne des outils de piratage avancés, tant pour l’offensive que pour la défense, ce que vous pouvez probablement deviner même si certains exemples notables n’avaient pas filtré ces dernières années. Mais mardi, lors de la conférence sur la sécurité de la RSA à San Francisco, l’agence a présenté Ghidra, un outil interne sophistiqué qu’elle a choisi d’ouvrir sa source. Et bien que Rob Joyce, conseiller en matière de cybersécurité à la NSA, ait qualifié cet outil de « contribution à la communauté des cybersécurités du pays » lors de son annonce à la RSA, il sera sans aucun doute utilisé au-delà des États-Unis.
Vous ne pouvez pas utiliser Ghidra pour pirater des périphériques; il s’agit plutôt d’une plate-forme d’ingénierie inverse utilisée pour «compiler» le logiciel déployé et pour le «décompiler». En d’autres termes, il transforme les uns et les zéros que les ordinateurs comprennent en une structure, une logique et un ensemble de commandes lisibles par l’homme, qui révèlent ce que le logiciel que vous utilisez est conçu. La rétro-ingénierie est un processus crucial pour les analystes de logiciels malveillants et les chercheurs de renseignements sur les menaces, car elle leur permet de revenir en arrière à partir de logiciels qu’ils découvrent à l’état sauvage, comme les logiciels malveillants utilisés pour mener des attaques, afin de comprendre son fonctionnement, ses capacités qui l’a écrit ou d’où il vient. La rétro-ingénierie est également un moyen important pour les défenseurs de vérifier leur propre code pour déceler les faiblesses et de confirmer qu’il fonctionne comme prévu.
«Si vous avez fait de la rétro-ingénierie logicielle, vous avez découvert que c’était à la fois de l’art et de la science. Il n’ya pas de chemin difficile du début à la fin», a déclaré Joyce. «Ghidra est un outil d’ingénierie inverse conçu pour notre usage interne à la NSA. Nous ne prétendons pas que c’est celui-ci qui va tout remplacer. Ce n’est pas le cas. Mais cela nous a aidés à régler certains aspects de notre travail. «
Des produits d’ingénierie inverse similaires existent déjà sur le marché, notamment un désassembleur et un débogueur populaires appelé IDA. Mais Joyce a souligné que la NSA développait Ghidra depuis des années, en tenant compte de ses propres priorités et besoins réels, ce qui en fait un outil puissant et particulièrement utilisable. Des produits comme IDA coûtent également de l’argent, alors que la création de Ghidra en open source marque la première fois qu’un outil de son calibre sera disponible gratuitement – une contribution majeure à la formation de la prochaine génération de défenseurs de la cybersécurité. (À l’instar d’autres codes open source, attendez-vous à quelques bogues.) Joyce a également noté que la NSA considérait la sortie de Ghidra comme une sorte de stratégie de recrutement facilitant l’entrée des nouveaux employés dans la NSA à un niveau supérieur.
La NSA a annoncé le discours de Joyce sur la RSA et la sortie imminente de Ghidra au début du mois de janvier. Mais la connaissance de cet outil était déjà publique grâce à la divulgation de «Vault 7» de WikiLeaks en mars 2017, qui traitait de plusieurs outils de piratage utilisés par la CIA et faisait à plusieurs reprises référence à Ghidra en tant qu’outil de reverse engineering créé par la NSA. Le code lui-même n’avait pas encore vu le jour jusqu’à mardi, avec 1,2 million de lignes. Ghidra fonctionne sous Windows, Mac OS et Linux, et dispose de tous les composants que les chercheurs en sécurité sont en droit d’attendre. Mais Joyce a souligné la possibilité de personnaliser l’outil. Et il est également conçu pour faciliter le travail collaboratif entre plusieurs personnes sur le même projet de retournement – un concept qui n’est pas aussi prioritaire que d’autres plates-formes.
Ghidra dispose également d’interfaces utilisateur et de fonctionnalités conçues pour simplifier au maximum les opérations d’inversion, compte tenu de sa complexité et de ses difficultés. Le favori personnel de Joyce? Un mécanisme d’annulation / rétablissement. Il permet aux utilisateurs de tester des théories sur le fonctionnement du code analysé, avec un moyen simple de revenir en arrière si l’étape ne se concrétise pas.
La NSA a rendu d’autres codes open source au fil des ans, tels que ses initiatives Security Enhanced Linux et Security Enhanced Android . Mais Ghidra semble parler plus directement du discours et de la tension au cœur de la cybersécurité en ce moment. En étant libre et facilement disponible, il proliférera probablement et pourrait informer la défense et l’offensive de manière imprévue. S’il semble que la publication de cet outil pourrait donner aux pirates informatiques malveillants un avantage pour trouver un moyen d’échapper à la NSA, Dave Aitel, ancien chercheur à la NSA, est désormais responsable de la sécurité dans la technologie de la société d’infrastructure sécurisée Cyxtera.
«Les auteurs de logiciels malveillants savent déjà comment rendre ennuyeux le renversement de leur code», déclare Aitel. « Il n’y a vraiment aucun inconvénient » à libérer Ghidra.
Quel que soit le futur outil de renversement de la NSA, Joyce a souligné mardi que c’était une contribution sincère à la communauté des défenseurs de la cybersécurité – et que les théoriciens du complot pouvaient rester tranquilles. « Il n’y a pas de porte arrière à Ghidra », a-t-il déclaré. « Allez, pas de porte dérobée. »