Open-source

L’agence est depuis longtemps impliquée dans de nombreux projets open-source, par les contributions de ses agents et la publication de plusieurs de ses outils.

La loi pour une République numérique de 2016 a fait des codes sources écrits par les administrations des données publiques, ayant vocation à être publiées. Nonobstant cette obligation (qui comporte certaines exceptions, par exemple pour des raisons de sécurité informatique), les publications de l'ANSSI peuvent se classer dans différentes catégories :

• Les preuves de concept, qui sont publiées en l'état, sans garantie de maintenance ni de support. Elles ont servi de support à des travaux ponctuels (hackathon, écriture d'article, etc.), et sont publiées afin d'être utilisées par d'autres, par exemple pour reproduire des travaux publiés dans un article scientifique.
• Les outils utiles au quotidien pour l'un ou l'autre des métiers de l'ANSSI (opérationnel ou non), sont en général maintenus le temps qu'ils restent utiles en interne ou auprès de ses partenaires
• Les grands projets, emblématiques de l'engagement de l'agence pour l'open source, pour lesquels l'ANSSI a cherché à élaborer une stratégie de publication, de coopération et de communication, ainsi qu'une feuille de route publique.
• Les contributions à des projets open-source existants, que ce soit pour corriger des bugs (de sécurité en général, mais parfois fonctionnels) ou afin d'améliorer les projets, de façon plus ou moins importante.

L'ANSSI pilote plusieurs grands projets open-source, principalement dans l'organisation (Ouvre une nouvelle fenêtre) Github ANSSI-FR.

DFIR ORC

(Ouvre une nouvelle fenêtre) DFIR ORC est un ensemble d'outils de recherche de compromission, utilisés en particulier par la sous-direction des Opérations lors de traitement d'affaires.

WooKey

(Ouvre une nouvelle fenêtre) WooKey est un projet destiné à faciliter le prototypage de solutions durcies destinées à l'IoT et aux périphériques embarqués. Il comprend un micro-noyau (eWoK), un environnement de développement (Tataouine) ainsi que des briques de bases comme le support des mise à jour sécurisées, des bibliothèques cryptographiques, l'isolation mémoire via la MPU, etc.

Le projet possède sa propre organisation (Ouvre une nouvelle fenêtre) Github.

Dans l’organisation Github (Ouvre une nouvelle fenêtre) ANSSI-FR, on peut également trouver divers outils opérationnels comme (Ouvre une nouvelle fenêtre) DFIR-O365RC, (Ouvre une nouvelle fenêtre) DFIR4vSphere ou (Ouvre une nouvelle fenêtre) ADTimeline, ou encore des preuves de concept comme (Ouvre une nouvelle fenêtre) SmartPGP, (Ouvre une nouvelle fenêtre) ultrablue ou la (Ouvre une nouvelle fenêtre) libecc.

Certains projets plus autonomes ou regroupant de multiples dépôts sont publiés à des emplacements spécifiques :

• (Ouvre une nouvelle fenêtre) Rusticata est un ensemble de parseurs « sûrs » écrits en Rust, utilisés en particulier avec l'outil Suricata ;
• (Ouvre une nouvelle fenêtre) CW-LEIA : dépôts du projet LEIA (Lab Embedded ISO7816 Analyzer A Custom Smartcard Reader for the ChipWhisperer).
• (Ouvre une nouvelle fenêtre) Keysas (Le Guichet): Keysas est un prototype de station de décontamination de fichiers avec un focus sur la sécurité de la station elle-même.

Ces organisations sont parfois référencées sur Github comme (Ouvre une nouvelle fenêtre) organisations gouvernementales ainsi que dans l' (Ouvre une nouvelle fenêtre) inventaire DINSIC des dépôts de code sources des organismes publics.

• (Ouvre une nouvelle fenêtre) CLIP OS : un système d'exploitation durci sur base Linux visant des environnements multiniveaux (cohabitation d'environnement de différents niveaux de sensibilité) ;
• (Ouvre une nouvelle fenêtre) Caml PKCS#11 : outils PKCS#11 en OCaml (Caml Crush et opkcs11-tool), notamment utilisés dans CLIP 4 ;
• (Ouvre une nouvelle fenêtre) Pycrate : bibliothèque d'encodeurs et de décodeurs de différents protocoles et formats de fichiers (p. ex. ASN.1, CSN.1) ;
• (Ouvre une nouvelle fenêtre) Parsifal : moteur de parsing en OCaml ;
• (Ouvre une nouvelle fenêtre) Concerto : outils d'analyse de données TLS ;
• (Ouvre une nouvelle fenêtre) StemJail : outils de création et de mise à jour dynamique de conteneurs Linux non-privilégiés ;
• (Ouvre une nouvelle fenêtre) Landlock : fork de Linux contenant les différentes versions du module de sécurité Landlock ;
• (Ouvre une nouvelle fenêtre) Caradoc : parseur et validateur PDF ;
• (Ouvre une nouvelle fenêtre) IVRE est un framework de reconnaissance (ou cartographie) réseau qui se base sur des données collectées de façon passive et active. Il peut par exemple être utilisé comme alternative maîtrisée à Shodan, ou encore pour créer une infrastructure de Passive DNS.

L'ANSSI et ses agents sont contributeurs techniques à de nombreux logiciels libres. On peut citer en particulier le noyau Linux, la distribution Debian (plusieurs agents sont membres développeurs de la distribution) ou encore le logiciel Suricata (voir section OISF).

(Ouvre une nouvelle fenêtre) GPO Check, (Ouvre une nouvelle fenêtre) GPO2SQL et (Ouvre une nouvelle fenêtre) GPOlist sont des outils de vérification de GPO Windows.

(Ouvre une nouvelle fenêtre) Scapy est environnement interactif et bibliothèques de génération, manipulation et réception de messages réseaux.

Communauté : Open Information Security Foundation

L'ANSSI a rejoint l'Open Information Security Foundation (OISF) et le projet Suricata en tant que partenaire Gold de ce consortium.

(Ouvre une nouvelle fenêtre) Suricata est un moteur de haute performance de détection et de prévention d’intrusion dans les réseaux informatiques développé et distribué sous licence libre. En rejoignant l’OISF et en soutenant le projet Suricata, l’ANSSI marque une nouvelle fois l’engagement de la France dans la cybersécurité de ses infrastructures critiques mais également de chacun de ses citoyens. L’OISF, ONG fonctionnant sur un mode communautaire, rassemble les volontaires et les acteurs industriels qui contribuent en temps, en code et par leurs retours sur Suricata. Le succès de Suricata est le résultat direct des efforts et des contributions de cette communauté.

L’ANSSI est convaincue du rôle majeur que Suricata peut jouer dans le développement de nouvelles générations innovantes de systèmes de détection et de prévention d’intrusion intégrant des briques de logiciel libre. Ensemble, l’OISF et l’ANSSI souhaitent soutenir des solutions performantes et de confiance pour la cybersécurité.

Grâce aux partenariats et au support des membres du consortium OISF tels que l’ANSSI, Suricata continuera de s’améliorer et d’être un moteur de haute performance de détection et de prévention d’incidents réseau de haut niveau de confiance et de renommée mondiale. Lire le (Ouvre une nouvelle fenêtre) communiqué de presse OISF-ANSSI.

Financement d'évaluations de sécurité de logiciels libres

L’ANSSI mène depuis 2017 des évaluations de sécurité de logiciels open source. Ces évaluations peuvent prendre deux formes. Soit soumettre un logiciel open source au processus devant mener à l’obtention de la Certification de Sécurité de Premier Niveau (« CSPN »), schéma français faisant partie de la famille des Visas de sécurité de l’ANSSI. Soit des audits « à façon » qui ne donnent pas lieu à la délivrance d’un Visa de sécurité mais dont les résultats ont pour vocation de donner un aperçu de la robustesse d’un logiciel open source aux professionnels de la cybersécurité pour les aider concrètement dans leurs activités opérationnelles (dossier d’homologation, analyse de risque…).

Liste (non exhaustive) des évaluations :

• Evaluations 2025 :
  • Audit du logiciel Shibboleth (en cours)
  • Audit du logiciel (Ouvre une nouvelle fenêtre) Vault (en cours)
  • Audit du logiciel (Ouvre une nouvelle fenêtre) Sentry (en cours)
  • Audit du logiciel (Ouvre une nouvelle fenêtre) HAProxy (en cours)
  • Audit du logiciel (Ouvre une nouvelle fenêtre) step-ca (en cours)
  • Audit du logiciel (Ouvre une nouvelle fenêtre) CAS (4 vulnérabilités identifiées, cf. bulletin de sécurité Amossys)
• Evaluations menées en 2023 :
  • Evaluation CSPN du logiciel Wireguard (pas de certificat à l’issue du processus*)
  • Evaluation CSPN du logiciel KeePassXC (certificat CSPN)
• Evaluations menées en 2022 :
  • Evaluation CSPN du logiciel (Ouvre une nouvelle fenêtre) S2OPC (a donné lieu à une certification)

* L’ANSSI estime néanmoins pertinent de partager des éléments d’information avec la logique qu’ils puissent être utiles à des professionnels de la cybersécurité.

Pour plus d’informations, contacter opensource [at] ssi.gouv.fr.

Autres types d'implication

L'ANSSI s'investit également dans les communautés du logiciel libre par d'autres moyens : rédaction collaborative de guides (comme le (Ouvre une nouvelle fenêtre) guide de développement Rust), ou sponsoring de conférences comme (Ouvre une nouvelle fenêtre) Kernel Recipes.