J’ai mis ma boîte à outils open source de réponse à incident sur GitHub. Pas la clé d’intervention, pas une seule donnée client : juste les programmes que j’utilise pour analyser un poste compromis, et la logique qui décide lequel sortir, quand, et pourquoi.

Dans l’article sur ma clé First Responder, j’ai écrit que je ne donnais pas la liste des binaires, et que c’était volontaire. Je le maintiens : la clé est un outil de terrain, avec une méthode qui s’opère, ça ne se distribue pas en libre-service. Mais il y a une autre moitié de l’histoire que je peux montrer sans rien risquer pour personne : avec quels outils open source de référence je travaille. Alors je l’ai publiée, en clair.

Trois raisons, dans cet ordre.

La transparence. Quand quelqu’un me confie un poste piraté, il me fait confiance sur parole : il ne voit pas ce que je fais sous le capot. Montrer mes outils, c’est rendre ce travail vérifiable. Un confrère peut s’en inspirer, un client peut juger du sérieux de la démarche. La transparence, c’est la moitié de la confiance.

La clarté. Le marketing de la cybersécurité adore le brouillard : des menaces partout, des boîtes noires, du jargon qui impressionne. Je préfère l’inverse. Des outils nommés, leur rôle expliqué simplement, et une frontière nette entre ce qui se partage et ce qui ne se partage pas.

L’éthique du métier. Ces outils sont à double usage : entre de bonnes mains ils réparent, entre de mauvaises ils nuisent. Le dépôt met d’ailleurs en exergue, dans son cadre d’usage, une phrase de Rabelais, « science sans conscience n’est que ruine de l’âme ». Ce n’est pas une citation décorative, c’est la règle de la maison.

Sur la transparence comme posture, j’assume des influences : George Orwell pour la clarté du langage contre la novlangue, Julian Assange pour le droit de savoir, y compris ce qu’on fait de vos données. Appliqué à mon échelle, ça donne une règle simple : mes outils sont publics, vos données ne le seront jamais.

Le dépôt public ne contient que des pointeurs vers des outils déjà publics, plus ma documentation. Aucun code recopié, et surtout aucune donnée de victime, jamais, même dans un dépôt privé. Les éléments d’un dossier (captures, journaux, images disque) restent en local, chiffrés, séparés. Un prestataire référencé Cybermalveillance.gouv.fr n’expose pas les affaires de ses clients sur Internet, point.

Sept outils open source, tous sous licence libre (MIT, GPL, AGPL, Apache, MPL), classés par ce qu’ils servent, pas par éditeur. En clair :

• Lire les journaux de Windows. Une machine garde la trace de presque tout ce qui s’y passe. Hayabusa et Chainsaw transforment ces journaux bruts en une chronologie lisible des évènements suspects : quel programme, quand, depuis où. Chainsaw va même fouiller la trace laissée par les fichiers eux-mêmes.
• Débusquer ce qui se relance tout seul. Un malware sérieux veut survivre à un redémarrage : il se planque dans une des dizaines d’endroits prévus pour lancer des programmes au démarrage. PyrsistenceSniper inspecte plus d’une centaine de ces planques, hors ligne, sans rien modifier.
• Le volet téléphone. Quand un smartphone est dans la boucle (compte piraté, soupçon de logiciel-espion ou de stalkerware), MVT et AndroidQF, développés par Amnesty International, cherchent ces traces sur Android et iOS, avec l’accord de la personne concernée.
• Regarder la machine vivante. System Informer (l’héritier de Process Hacker) montre en temps réel ce qui tourne : processus, connexions réseau, services. Le complément interactif de la collecte automatisée.
• L’annuaire. awesome-incident-response est un index de référence des outils du domaine, pour ne jamais réinventer la roue.

Je ne détaille pas chaque option de chaque programme, et c’est voulu : ce qui compte pour vous, ce n’est pas le nom d’un binaire, c’est qu’il y ait une logique claire et quelqu’un qui sait lequel sortir, quand, et pourquoi.

Un outil sans doctrine, c’est un dépanneur qui « réinstalle tout » et efface les preuves au passage. Ma règle tient en trois mots, dans cet ordre, non négociable : préserver, analyser, remédier. Empreinte numérique avant et après pour prouver que rien n’a été altéré, travail sur copie, constat factuel sans jamais accuser personne, périmètre strict (matériel perso ou autorisé). Je l’ai détaillée dans l’article sur ma clé d’intervention, je ne la refais pas ici. Le dépôt, c’est l’outillage de cette méthode, rendu lisible.

Honnêteté : oui, j’ai aussi des outils offensifs (tests d’intrusion, red team). Ils servent uniquement sous mandat écrit, en lab, et je les garde dans un dépôt privé séparé. Le dépôt public, lui, est défense d’abord : du constat, de la préservation, du nettoyage. C’est cohérent avec mon métier de tous les jours, qui n’est pas d’attaquer des systèmes mais d’aider des gens dont le poste, le site ou les comptes viennent de tomber.

Il est là, ouvert : github.com/molokoloco/cybermalveillance. Vous y trouverez la liste des outils, leurs licences, le cadre d’usage, et même la trace d’un outil que j’ai évalué puis écarté : détecté comme cheval de Troie par l’antivirus, doublé d’un mécanisme d’injection caché, je l’ai rejeté et signalé à la sécurité de GitHub. La transparence vaut aussi pour ce qu’on refuse.