L’organisation à l’origine de la RSA Conference a publié Quantickle, une boîte à outils graphique open source accessible via navigateur, conçue pour les analystes en sécurité qui enquêtent sur les relations complexes entre malwares, infrastructures et campagnes de menaces. L’outil, publié par RSAC Labs, est désormais disponible gratuitement sur GitHub sous licence Apache 2.0.
Ce qui rend Quantickle remarquable, c’est à la fois son objectif et son origine. Le projet a été créé par Snorre Fagerland, directeur technique principal chez RSAC, qui se décrit lui-même comme « un analyste et rétro-ingénieur » plutôt que comme un programmeur professionnel. Fagerland a développé l’outil en utilisant le développement assisté par IA, s’appuyant largement sur de grands modèles de langage pour générer le code.
« Est-ce de qualité production ? J’en doute. Mais ça fonctionne. Et nous ne le vendons pas ; nous le donnons« , a écrit Fagerland au sujet du projet.
Cytoscape comme fondation
Quantickle comble une lacune que de nombreux professionnels de la veille sur les menaces reconnaissent : bien que les indicateurs puissent être standardisés, les pistes d’investigation les plus précieuses impliquent souvent des relations étranges et asymétriques que les tableurs obscurcissent plutôt qu’ils ne révèlent. L’outil utilise Cytoscape, un moteur de graphes open source initialement développé pour la recherche biologique, comme fondation.
Plusieurs fonctionnalités distinguent Quantickle des alternatives commerciales. L’outil prend en charge des « conteneurs » qui permettent aux analystes de regrouper des nœuds visuellement sans forcer de connexions explicites. Ces conteneurs peuvent s’imbriquer les uns dans les autres, créant des sous-espaces de travail à l’intérieur d’un graphe. L’outil prend également en charge les graphes interconnectés, permettant aux chercheurs de décomposer de grandes investigations en chaînes navigables plutôt qu’en canevas écrasants.
Le temps est traité comme un attribut fondamental, les nœuds pouvant contenir des horodatages qui influencent la disposition ou la couleur, utile pour suivre les campagnes de phishing ou la rotation d’infrastructure.
Données locales par défaut
L’outil fonctionne principalement en JavaScript côté client avec un backend léger. Par défaut, les données restent locales. Les analystes peuvent coller des indicateurs directement dans l’interface, importer des fichiers CSV ou enregistrer des graphes au format JSON. Pour les utilisateurs souhaitant une persistance, les graphes peuvent être stockés dans Neo4j.
Les exports prennent en charge les formats courants, notamment PNG, PDF, HTML et CSV. Des intégrations externes existent, y compris des recherches sur VirusTotal, mais elles sont déclenchées manuellement plutôt qu’automatiquement.
Cette publication soulève une question plus large sur qui développe les outils de sécurité. Quantickle démontre comment le développement assisté par IA peut permettre aux experts métier de créer des solutions qui reflètent leurs flux de travail réels, même sans formation d’ingénieur traditionnelle.
L’outil est disponible gratuitement sur GitHub sous licence Apache 2.0.
