En pleine conférence RSA, la NSA a annoncé la publication de son outil Ghidra, spécialisé dans la rétroingénierie. L’agence américaine souhaite que les analystes de malwares s’en emparent, se fassent à son usage avant éventuellement de venir postuler.

Cette arrivée est un évènement, attendue depuis le début de l’année quand les rumeurs ont commencé à l’évoquer. Un outil complet de rétroingénierie logicielle est en effet une aubaine, Ghidra jouant dans la même cours qu’IDA Pro, dont la licence coûte des milliers de dollars par an.

Développé en Java et fonctionnant sous Linux, mac OS et Windows, Ghidra est proposé gratuitement. Mieux, dans « un futur proche », son code source sera publié sur le dépôt GitHub de la NSA, assorti d’une licence open source (Apache 2.0 a priori).

Les architectures supportées sont très nombreuses, comme le signale Rob Joyce, de la NSA : x86 16/32/64, arm/Aarch64, PowerPC 32/64, VLE, MIPS 16/32/64, micro, 68xxx, Java/DEX bytecode, PA-RISC, PIC 12/16/17/18/24, Sparc 32/64, CR16C, Z80, 6502, 8051, MSP430, AVR8 ou encore AVR32, la liste n’étant pas exhaustive.

L’outil se télécharge directement depuis site de la NSA et se présente comme une archive Zip à décompresser sur le disque, sans installation classique. Comme noté par le chercheur en sécurité Silas Cutler, la documentation de Ghidra fournit même des conseils pour transiter depuis IDA Pro.

Pour l’instant, l’outil semble recevoir les éloges de nombreux chercheurs, y compris de Tavis Ormandy de chez Google, connu pour avoir trouvé de nombreuses vulnérabilités.