JA4+ - Suite de normes pour la prise d'empreintes digitales en réseau

JA4+ est une suite de méthodes de fingerprinting de réseau conviviales pour les humains et les machines, conçues pour une chasse aux menaces et une analyse améliorées. Les cas d'utilisation incluent la détection de logiciels malveillants, l'identification des acteurs de menaces, la prévention du détournement de session et bien plus encore. JA4+ utilise un format unique a_b_c, permettant l'analyse de sections spécifiques d'empreintes, ce qui permet ainsi d'obtenir des informations plus approfondies. Par exemple, GreyNoise utilise JA4+ pour suivre les acteurs même avec des changements de chiffrement TLS en se concentrant sur les parties constantes de l'empreinte. JA4+ prend en charge divers protocoles, notamment TLS, HTTP, SSH et TCP, avec des méthodes pour le fingerprinting client et serveur. Il est disponible en Python, Rust, Zeek, C et en tant que plugin Wireshark, avec un soutien croissant dans des outils comme GreyNoise, Zeek et Arkime. Bien que JA4 (Fingerprinting du client TLS) soit open-source sous la licence BSD 3-Clause, les autres méthodes JA4+ sont soumises à la licence FoxIO 1.1, autorisant l'utilisation académique et interne commerciale mais nécessitant une licence OEM pour la commercialisation. Les empreintes JA4+ sont conçues pour évoluer avec les mises à jour des bibliothèques TLS des applications, généralement annuellement, et pour relever des défis tels que le stunting de chiffrement et la randomisation des extensions en donnant la priorité aux listes de chiffrement uniques et en incorporant des algorithmes de signature. Le projet accueille les contributions à sa base de données d'empreintes et la collaboration avec les fournisseurs et les projets open-source.