C’est un geste rare dans le monde du renseignement : l’Australian Signals Directorate (ASD) vient de rendre public Azul, sa plateforme interne d’analyse de malwares. L’outil est désormais disponible sur le GitHub de l’Australian Cyber Security Centre sous licence MIT, avec sa documentation complète et ses composants d’intégration.
La démarche rappelle celle de la NSA américaine, qui avait publié Ghidra en 2019 – son framework de rétro-ingénierie devenu depuis une référence dans la communauté de la sécurité informatique. L’ASD s’inscrit dans cette tendance croissante des agences Five Eyes à partager leurs outils de cybersécurité avec le secteur privé et les partenaires gouvernementaux.
Azul, c’est quoi exactement ?
Azul est une base de connaissances sur les malwares, conçue pour l’archivage, l’analyse et le regroupement d’échantillons malveillants à grande échelle. La plateforme peut stocker des centaines de millions d’échantillons et met à jour en continu ses résultats au fil des évolutions de la logique de détection.
Concrètement, elle offre trois fonctions principales : un dépôt sécurisé pour stocker malwares et fichiers suspects, une analyse automatisée (exécution en sandbox, extraction de configuration, découpage de fichiers), et une corrélation d’échantillons partageant des fonctionnalités similaires ou une infrastructure de commande et contrôle commune.
L’outil a été conçu pour améliorer la productivité des ingénieurs en rétro-ingénierie. Sans automatisation, analyser manuellement un malware peut prendre des heures pour en extraire les indicateurs de compromission de base, des jours pour déterminer ses capacités, et des mois pour comprendre en profondeur une famille de malwares. Azul transforme ces étapes répétitives en plugins d’analyse réutilisables dans des workflows automatisés.
Ce qu’Azul ne fait pas
Point important à préciser : Azul n’identifie pas si un fichier est malveillant ou non. Il ne fait pas de triage binaire. Tout échantillon soumis doit avoir été préalablement identifié comme suspect ou malveillant via d’autres outils (comme Assemblyline), ou dans le cadre d’activités de réponse à incident, de threat hunting ou de honeypots.
Azul est écrit principalement en Python. La documentation complète et l’annonce officielle de l’ASD sont disponibles en ligne.
