Interview Solal Jacob (DFF)

Tout d’abord, commençons par une petite présentation : Solal, quel est ton parcours et qu’est-ce que DFF ?

Mon parcours est celui du ’geek’ classique, j’ai eu pas mal de difficultés scolaires , car j’ai passé beaucoup temps sur mon PC, à découvrir entre autre Linux, jusqu’au jour où j’ai pu étudier l’informatique. Comme j’étais intéressé et pratiquais la sécurité informatique depuis un certain moment, j’ai dès la première année de mon cursus rejoint le lab. sécu de mon école, et j’ai aussi enseigné les techniques d’exploitation et de défense aux élèves de master d’une école voisine.

Puis, lors de ma 4eme année (que j’ai passé en Chine) nous avons eu à développer un projet de fin d’étude, avec mon groupe de projet (l’équipe qui constitue ArxSys aujourd’hui) nous avons alors choisi de développer un ’framework’ dédié au Forensic, c’est ce qu’est DFF aujourd’hui.

Un outil qui permet de mener une investigation numérique de bout en bout. Qui peut être utilisé dans différents cas tel que l’analyse d’attaque informatique, de fraude, de vol de données ... tout ce qui est en rapport avec les infractions numériques.

Qu’est ce qui t’a poussé à investir ce domaine du forensic qui est très spécialisé ?

Lors des mes études j’étais très intéressé par la sécurité informatique et un jour en jouant un peu sur les PC de mon école avec un ami j’ai alors remarqué que le contenu de la ram était (à l’époque) accessible via "/dev/mem" et que je pouvais retrouver le mot de passe avec lequel je m’étais loguer sur ma session X windows. J’ai commencé à m’intéresser à ce sujet et c’est comme ça que j’ai découvert le terme ’forensics’ . J’ai alors acheté quelques livres sur le sujet et j’ai remarqué que peu d’outils était dédié à cette problématique et que de plus les outils principaux étaient des outils commerciaux, chers, que je ne pouvais pas me procurer. Peu de temps après, j’ai dû choisir un ’projet de fin d’étude’, il était évident pour moi que le sujet porterait sur la sécurité et comme je m’intéressais à l’époque au Forensic j’en ai discuté avec un groupe d’amis est nous avons décidé de nous lancer sur le sujet. Peu après, notre école nous informait que l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale) cherchait un groupe d’élèves pour traiter une problématique particulière liée au Forensic. Comme nous prévoyions un logiciel modulaire pouvant répondre à différents besoins, nous avons alors sauté sur l’occasion et une partie de l’équipe s’est alors chargée de développer spécifiquement cette partie. Cela nous a donné l’occasion de rencontrer les véritables ’experts’ du domaine (un peu différents de ceux de la télé) et les échanges nous ont vraiment aidé à comprendre les besoins et les problématiques de cette niche de la sécurité informatique.

L’an passé, Paul Rascagnères est venu parler de reverse engineering de malware avec des outils libres mais les outils libres dans les domaines du reverse ou du forensic ne sont pas la règle. Créateur de DFF, quels avantages mais aussi inconvénients vois tu à créer et utiliser un logiciel libre dans ces domaines ? Te sens-tu porté par un esprit militant en développant DFF sous licence libre ou est-ce un simple choix pragmatique ?

Le domaine du forensics est très spécial puisqu’il est en partie lié à la loi. Comme je l’explique, dans ma présentation au RMLL, normalement aux États-Unis lors d’un procès les preuves scientifiques doivent suivre le ’Daubert Standard’ pour être admissibles devant un jury. Ce standard établit des règles auxquels les logiciels open-source répondent bien mieux que les logiciels privateurs. Il est claire que lorsque l’on va porter une affaire en justice en utilisant des preuves informatiques, on n’a pas le droit à l’erreur et le fait de pouvoir vérifier le fonctionnement du logiciel est essentiel.

De mon côté, le choix de l’open-source n’était à la base ni un choix pragmatique ni forcement par esprit de militantisme bien que je sois un fervent défenseur du libre. Pour moi c’était un choix évident, j’utilise tous les jours exclusivement des logiciels open-source et grâce à eux j’ai pu découvrir l’informatique et entre-autre le fonctionnement d’un système d’exploitation grâce à la disponibilité du code, pour moi il n’y avait pas de réflexion à mener, il était tout à fait évident que si je devais développer un logiciel son code serait ouvert.

Aujourd’hui, c’est le cas contraire qui me poserait problèmes, car les logiciels propriétaires ne sont pas ’normaux’ pour moi et j’aurais bien du mal à passer le cap et encore plus à travailler toute la journée sous un système privateur. Je me souviens d’ailleurs que lorsque notre projet a été pour la première fois "packagé" et accepté dans "Debian" ce fut une grande joie pour moi et mon équipe. (Je tiens d’ailleurs à remercier Pierre Chifflier pour le packaging).

Arxsys existe depuis maintenant 4 ans. Peux tu nous dire quel a été l’impact de baser son entreprise sur un logiciel libre : création de l’entreprise, recherche de clients, compréhension par le marché et les partenaires éventuels de ce choix etc ? Tu as par exemple reçu un excellent accueil (primé) des Assises de la Sécurité en 2010 alors que la quasi totalité des exposants vendent des boitiers et des solutions propriétaires.

Choisir le libre comme business model est un choix encore très spécifique et peu compris en tous en cas en France. Le libre apporte beaucoup les premières années sur le plan marketing/communication car la "liberté" permet au projet de se diffuser rapidement et puisque les gens peuvent l’utiliser et le tester, on crée rapidement une large communauté d’utilisateurs, surtout pour un marche comme celui du forensics où les gens sont habitués à leurs outils, ont parfois du mal à aller vers la nouveauté et n’ont parfois pas le budget pour tester de nouvelles solutions. Malheureusement en France pour la plupart des décideurs ’Free’ veut dire ’gratuit’ et non pas ’libre’. Voir le code leur importe peu, quand on leur dit que notre logiciel est open-source ils se disent très bien, c’est gratuit, je vais demander à mes équipes de le tester. Mais, ils ont du mal à comprendre ce que vend notre entreprise (le service autour du logiciel). Il y a donc tout un travail à faire pour éduquer les dirigeants sur ce point et convertir les utilisateurs en clients.

Ceci étant pour l’entreprise, dans le cas des services publics les choses sont différentes, ils sont bien plus sensibilisés aux questions de l’open-source et bien qu’ils y voient aussi un avantage pécuniaire, ils apprécient aussi que le code soit libre pour la transparence que cela apporte (peur des "backdoors") et par le fait qu’il pourront contribuer aux logiciels. Il en va de même évidemment pour le secteur universitaire où notre logiciel est fort apprécié et déjà intégré dans de nombreux cursus dans le monde.

Pour les assises, je pense que l’avis d’Hervé Schauer, grand défenseur du libre dans la sécurité, a eu un certain poids dans la balance et je le remercie vivement pour ça, il est un des premiers à avoir repérer le projet. Ce qui prouve qu’il effectue une veille active et il a tout de suite compris que le forensics qui était alors très peu démocratisé, voire inconnu en France, allait devenir un service proposé par la plupart des entreprises de service en sécurité . Lors du salon se fut aussi un élément différenciateur, la plupart des gens présents sont des RSSI et ceux avec un background technique sont souvent amateurs de solutions open-source car pour eux c’est un gage de qualité, mais pour la majorité c’est encore compliqué, il faut réussir à convaincre.

Les RMLL diffèrent des conférences sécurité (SSTIC, NSC, CanSec, Hack.lu etc) par le fait que c’est une conférence généraliste mêlant des thèmes technique (Sécurité, AdminSys, Internet, dév ...) à des thèmes sociétaux (privacy, médecine, enseignement). Qu’attends tu de ta conférence et ton atelier ? Et plus généralement de ta présence aux RMLL ?

Ma conférence et mon atelier ont pour but de faire connaitre ce qu’est le forensics et DFF qui je l’espère sera utile à ceux qui le découvriront, peut être aussi aurais-je la chance de donner envie aux gens de contribuer au projet.

Aussi, comme pour tous les logiciels, nos problématiques ne sont pas que métier, l’architecture de DFF est spécial et nous espérons pouvoir la faire évoluer dans les années qui viennent (notamment remplacer la génération de "binding" qui est à l’heure actuelle faite avec "SWIG", faire notre propre bibliothèque de parsing de type au lieu d’utiliser "magic", ...) car nous avons des problématiques à gérer, tels que les larges volumes de données ou l’analyse de parcs informatiques. Les conférences des différents thèmes vont donc me parler et me seront, je pense, instructives, je vais aussi me plaire à échanger avec les participants sur des thèmes plus généraux, car c’est ça aussi l’esprit du libre !

Merci !

Merci beaucoup Solal et au 8 juillet 2013 à Bruxelles :)

Interview réalisée par email par Christophe Brocas, co-chairman du thème Sécurité.