🚗 Vehicle Forensics & ECU Reverse
Analyse SSM et Bus CAN sur Subaru : Focus sur l’ID 0x423
Je surveille de près les travaux sur RomRaider concernant l’implémentation du monitoring de température 5EAT via le protocole SSM (Subaru Select Monitor). Les échanges techniques sur le bit shuffling des ID CAN (notamment l’ID 0x423) montrent à quel point le reverse-engineering des TCU reste un défi. On est ici sur de la manipulation directe de registres en RAM pour détourner des payloads de diagnostic. C’est du « pur » hardware hacking appliqué à l’automobile, loin des gadgets habituels.
Debug MS41 sous Windows 11 : Le casse-tête des ports COM
Si vous utilisez des outils de logging sur d’anciens ECU type MS41, méfiez-vous de la gestion des ports série sous Windows 11. Des remontées indiquent des coupures aléatoires du flux de données. Pour nous, en investigation ou en dump de firmware via K-Line, c’est critique : une déconnexion au mauvais moment et c’est le brick assuré. On soupçonne des conflits de pilotes ou une gestion agressive de l’économie d’énergie sur l’UART USB.
Android Auto : Le mode sécurité d’Android 16 casse la connectivité
C’est le revers de la médaille du durcissement système. Une nouvelle fonction de sécurité dans Android 16 semble bloquer la liaison avec les unités centrales Samsung et Pixel. En forensic automobile, cela signifie que les protocoles de communication IVI (In-Vehicle Infotainment) évoluent plus vite que la stabilité des outils. On analyse si c’est lié à une restriction sur l’USB Debugging ou à un nouveau système d’attestation matérielle.
🕵️ Digital Forensics & Cyber
L’exploit iPhone « DarkSword » fuite sur GitHub
Alerte rouge pour les analystes mobiles. Un exploit nommé DarkSword, ciblant des versions d’iOS encore largement utilisées, est désormais public. Contrairement à ce qu’on voit d’habitude avec les outils type Cellebrite ou GrayKey, cet exploit permet une exécution simplifiée. Si vous avez des téléphones en attente d’analyse, c’est le moment de vérifier si ce vecteur peut faciliter l’extraction de données sur des modèles non patchés.
Forensic Email : L’IA d’Aid4Mail dépasse les simples mots-clés
En DFIR, la recherche par mots-clés (Keywords) montre ses limites face au volume de données. Aid4Mail propose maintenant une classification IA pour contextualiser les échanges multilingues. J’ai souvent galéré sur des datasets de 100 Go de PST ; pouvoir filtrer par « intention » plutôt que par simple chaîne de caractères est une avancée majeure pour nos rapports d’expertise.
DNS Exfiltration : Faire tourner DOOM via des enregistrements TXT
C’est une démonstration brillante de détournement de protocole. Adam Rice a réussi à stocker et lancer DOOM en utilisant 2000 enregistrements DNS TXT. Pour nous, c’est une piqûre de rappel : le DNS est un canal d’exfiltration massif. Si un attaquant peut faire passer un jeu complet, imaginez ce qu’il peut faire avec une base de données de mots de passe découpée en base64.
Sécurité matérielle : La FCC bannit les routeurs étrangers
C’est un séisme pour la supply chain. Les USA interdisent désormais tous les routeurs Wi-Fi de fabrication étrangère jugés « à risque ». On parle d’un changement radical dans le paysage de la sécurité réseau. Pour nos audits IoT, cela signifie que le hardware « grand public » va devenir un champ de bataille réglementaire et technique pour éviter les backdoors au niveau firmware.
🛠️ Hardware Hacking & IoT
Ampisu : L’alim de labo de poche pour vos dumps UART
Enfin un outil qui semble avoir été pensé pour le terrain. Ampisu est une alimentation USB-C compacte, isolée, contrôlable via interface web ou SCPI. Pour injecter du 3.3V proprement sur une carte mère de tablette ou un module GPS sans sortir la grosse station de labo, c’est l’outil idéal. Basé sur un RP2040, c’est flexible et parfait pour nos interventions de proximité.
ESP-IDF v6.0 : Espressif muscle la sécurité
La nouvelle version du framework d’Espressif (v6.0) apporte le support des ESP32-C5 et C61. Ce qui m’intéresse, c’est l’intégration de Picolibc (plus léger que Newlib) et les mises à jour sur le bootloader OTA sécurisé. C’est le genre de base qu’on doit maîtriser pour le pentest d’objets connectés modernes.
Code Arduino sur puce de 1980 (8051) via RISC-V
Un exploit de retro-engineering fascinant. Faire tourner du code moderne sur un microcontrôleur Intel 8051 de 45 ans d’âge en utilisant un émulateur RISC-V. C’est une mine d’or pour comprendre comment emuler des environnements sur des cibles matérielles très limitées, une compétence utile quand on tombe sur des systèmes industriels ou automobiles legacy.
Laisser un commentaire