🕵️ Digital Forensics & Investigation
Digest Forensic Focus : triage sur scène de crime et problématique du Cloud
Le dernier digest de l’équipe de Forensic Focus met le doigt sur des thématiques opérationnelles brûlantes. On y parle notamment de l’épineux problème des pièces jointes « cloud » lors de l’analyse des e-mails modernes (une vraie plaie pour la préservation des preuves) et de la manière dont les acquisitions rapides directement sur le terrain peuvent consolider un dossier avant même que les scellés n’arrivent au laboratoire.
Quand le DFIR s’invite à la maison : l’impact du métier sur les familles d’enquêteurs
Paul Gullon-Scott livre un témoignage d’une rare sincérité sur un sujet trop souvent passé sous silence : la charge mentale des praticiens de la criminalistique numérique et sa porosité avec la vie de famille. Analyser des preuves d’abus, de violence ou des données hautement sensibles laisse des traces invisibles. Je pense qu’il est temps que notre industrie propose de réels protocoles de soutien psychologique pour ceux qui manipulent quotidiennement l’horreur humaine sur leurs écrans.
Analyse d’un stealer NPM multiplateforme déniché sur VirusTotal
Les analystes du SANS ISC ont décortiqué un chargeur malveillant Node.js particulièrement bien obfusqué, téléversé sous le nom de « extracted-decoded.js ». Le bousin refuse de s’exécuter correctement en environnement sandboxé, ce qui a obligé l’équipe à mener une analyse statique rigoureuse pour comprendre ses mécanismes d’exfiltration. La compromission de la chaîne d’approvisionnement via NPM reste une menace redoutable pour les environnements de développement.
Proxying HTTP sélectif sous Linux : intercepter le trafic d’un processus unique
Pour nos analyses dynamiques de malwares ou le reverse engineering d’applications, filtrer le bruit réseau global est indispensable. Le SANS ISC propose une réflexion intéressante sur les alternatives à Proxifier (très populaire sur Windows/macOS) sous Linux. L’objectif est de pouvoir cibler l’analyse sur un seul identifiant de processus (PID) pour extraire proprement les requêtes HTTP/HTTPS sans polluer la capture avec le trafic système en arrière-plan.
Sécurité Cloud : Vos clés API Google restent actives 23 minutes après leur révocation
Une étude menée par Aikido Security révèle un décalage temporel inquiétant. Lorsque vous découvrez une clé API Google compromise (par exemple, poussée par erreur sur un dépôt public) et que vous la supprimez via la console d’administration, celle-ci reste pleinement fonctionnelle pendant encore 23 minutes en moyenne. Pour un attaquant disposant de scripts automatisés, ce sursis est largement suffisant pour siphonner vos bases de données ou générer des coûts astronomiques.
Double faille réseau dans le bac à sable de Claude Code
L’outil CLI d’Anthropic, Claude Code, a fait l’objet d’un correctif discret visant deux vulnérabilités dans son bac à sable réseau. Conçu pour empêcher l’assistant IA de se connecter à des serveurs tiers non autorisés (évitant ainsi le vol de code source), cet enclos de sécurité s’est avéré perméable pendant près de cinq mois. Si vous intégrez des agents IA autonomes dans vos pipelines de développement ou d’audit de sécurité, restez extrêmement vigilants sur leur niveau d’isolation réel.
Arnaques au « brushing » : quand des colis non commandés cachent une usurpation d’identité
Recevoir un petit colis anonyme contenant un objet bon marché n’est pas une erreur logistique en votre faveur. C’est la signature de l’arnaque au brushing. Des vendeurs de places de marché en ligne utilisent vos données personnelles fuitées pour créer de faux profils d’acheteurs, simuler une livraison, et s’attribuer des avis « vérifiés » cinq étoiles. Une excellente étude de cas pour nos enquêtes d’OSINT et de traque de réseaux de revente de données.
Discord généralise le chiffrement E2EE de ses appels, mais durcit ses contrôles d’identité
Discord déploie enfin le chiffrement de bout en bout pour ses flux vocaux et vidéo, une avancée majeure pour la confidentialité des échanges. Cependant, les utilisateurs grincent des dents face à la multiplication des demandes de vérification d’identité (allant parfois jusqu’à exiger une pièce d’identité officielle). Un dilemme classique entre sécurité des flux et traçabilité des utilisateurs à prendre en compte lors de vos investigations sous pseudonyme.
🚗 Automotive & IoT Security
Flipper One : l’ordinateur de poche Linux ARM qui cible les réseaux IP et mobiles
L’équipe derrière le célèbre Flipper Zero passe à la vitesse supérieure. Le Flipper One ne sera pas une simple mise à jour, mais un véritable ordinateur Linux embarqué axé sur le pentest réseau avancé. Contrairement au Zero cantonné aux ondes courtes et à la proximité (RFID, NFC, Sub-GHz), le One s’attaque de front aux réseaux Wi-Fi, Ethernet, 5G et même satellite. Les concepteurs eux-mêmes avouent être effrayés par le potentiel offensif de l’engin, particulièrement redoutable pour l’audit des passerelles télématiques embarquées dans les véhicules connectés.
L’API Web Serial arrive sur Firefox : le hacking hardware s’invite dans le navigateur
Victoire historique pour la communauté du hardware hacking : Firefox prend enfin en charge l’API Web Serial. Concrètement, vous pouvez désormais interagir avec du matériel (cartes Arduino, microcontrôleurs ESP, dumpers de puces mémoire, ou programmateurs d’EEPROM de calculateurs de bord) directement depuis une simple page web, sans outil lourd à installer. Pour nos ateliers de diagnostic et d’extraction physiques de firmwares automobiles ou IoT, cela promet des outils web d’une agilité sans précédent.
ESP32-S31 : la nouvelle puce d’Espressif avec Wi-Fi 6, Bluetooth et Gigabit Ethernet
La documentation technique des premières cartes de développement basées sur l’ESP32-S31 vient d’être publiée. Ce microcontrôleur s’annonce comme une cible d’analyse incontournable pour les experts IoT : architecture double cœur RISC-V cadencée à 320 MHz, support natif du Gigabit Ethernet et interfaces LCD/caméra. Les cartes d’évaluation comme la Korvo-1 intègrent des réseaux de microphones pour la reconnaissance vocale en local, préfigurant la sécurité physique des futurs assistants intelligents et systèmes embarqués industriels.
M5Stack StopWatch : un outil de terrain ultra-compact sous ESP32-S3
M5Stack lance un nouveau module autonome doté d’un écran tactile AMOLED de 1,75 pouce, d’un microphone, d’un haut-parleur et d’une centrale inertielle 6 axes. Animé par un ESP32-S3, ce boîtier compact est une plateforme de choix pour développer des outils de diagnostic rapide d’ondes ou des sniffeurs de trames Wi-Fi/Bluetooth de terrain lors d’audits de vulnérabilités physiques.
ESP-NOW et synchronisation décentralisée : l’exemple du projet CrowdClock
Le maker Tony Goacher a mis au point des badges LED capables de synchroniser leurs horloges internes de proche en proche via le protocole ESP-NOW, sans aucun point d’accès Wi-Fi ni serveur maître. Cette démonstration de réseau ad-hoc décentralisé illustre parfaitement la résilience de ce protocole propriétaire d’Espressif, mais soulève également des questions sur la possibilité de saturer ou d’injecter de fausses données de synchronisation sur des flottes de capteurs connectés ou de télématiques similaires.
Pourquoi j’ai jailbreaké ma vieille liseuse Kindle plutôt que de la jeter
Face aux injonctions d’Amazon d’abandonner les anciens modèles de liseuses Kindle sous prétexte d’obsolescence logicielle, le contournement physique et logiciel est la seule voie de salut. En effectuant un jailbreak (qui nécessite souvent d’accéder aux ports d’interface de débogage de type UART sur la carte mère), on reprend le contrôle de l’appareil pour y installer un système d’exploitation libre. Un excellent exercice de rétro-ingénierie et de détournement de matériel à des fins d’affichage domotique ou de monitoring réseau passif.
Hacking d’atelier : graver des circuits imprimés à l’ancienne avec un marqueur
Le bidouilleur ALTco propose une méthode de prototypage rapide déconnectée : dessiner des pistes de cuivre directement au marqueur permanent sur une plaque brute de bakélite avant de la passer au bain chimique. Si cette technique pré-informatique peut faire sourire à l’ère des commandes de PCB en ligne automatisées, elle s’avère extrêmement précieuse pour les « pentesters hardware » qui doivent fabriquer à la volée des adaptateurs d’interfaces JTAG/UART ou des dérivateurs de signaux personnalisés en situation d’urgence sur site.
Laisser un commentaire