🕵️ Digital Forensics & Investigation (DFIR)
Contournement BitLocker, télémétrie Tesla et forensic sur le terrain
La revue de presse de Forensic Focus met en lumière des avancées fondamentales pour nos interventions sur le terrain. On y décrypte des techniques de contournement BitLocker via la méthode YellowKey, l’extraction de clés de chiffrement IPsec directement de la mémoire vive, et surtout le décodage de la télémétrie des caméras embarquées de chez Tesla. Pour nous qui travaillons sur la reconstitution d’accidents ou de vols de véhicules, pouvoir interpréter ces flux de données brutes est indispensable.
Cellebrite Spring Release 2026 : cap sur la vitesse d’extraction
Cellebrite vient de présenter les nouveautés de sa mise à jour majeure du printemps 2026. L’accent est mis sur l’accélération des processus d’acquisition de données et sur une meilleure collaboration lors des enquêtes multi-utilisateurs. Face aux puces modernes ultra-sécurisées, nous constatons que chaque minute gagnée lors des extractions physiques est précieuse. Reste à tester en conditions réelles si les taux de réussite sur les derniers flagships Android s’améliorent réellement.
Extraction d’artefacts ChatGPT sur Android : le guide de GMDSOFT
Les conversations avec les intelligences artificielles génératives se transforment de plus en plus souvent en pièces à conviction. GMDSOFT a analysé comment ses outils MD-NEXT et MD-RED localisent et interprètent les bases de données SQLite générées par l’application ChatGPT sur les smartphones Android. Trop d’utilisateurs s’imaginent encore que ces historiques ne laissent aucune trace locale, ce qui rend cette recherche en rétro-ingénierie particulièrement pertinente pour nos laboratoires.
Detego Global s’allie à la NFRSA pour soutenir les animaux de service à la retraite
Une initiative notable dans le milieu industriel du forensic : Detego Global annonce un partenariat avec la National Foundation for Retired Service Animals (NFRSA). L’objectif est de soutenir le bien-être des chiens et animaux de service après leur carrière active. Pour rappel, ces chiens jouent parfois un rôle inattendu en DFIR, notamment pour détecter les puces de stockage, disques durs ou cartes SD dissimulés lors des perquisitions physiques.
🛡️ Cybersecurity & Exploit Research
DirtyDecrypt (CVE-2026-46333) : la faille kernel Linux qui dormait depuis 2016
D’après les analyses publiées par les chercheurs de chez Qualys, une vulnérabilité critique baptisée « ssh-keysign-pwn » ou « DirtyDecrypt » affectait le noyau Linux depuis la version 4.10. Elle permet à n’importe quel utilisateur local sans privilèges de passer root pour lire le fichier shadow ou dérober les clés SSH privées. Qu’un tel bug soit resté invisible pendant neuf ans prouve que même les composants les plus surveillés du noyau ne sont pas à l’abri d’erreurs logiques d’implémentation.
Google publie par erreur le code d’un exploit Chromium non corrigé
Une bévue surprenante de la part des équipes de sécurité de Google, relayée par Korben : un code d’exploitation pleinement fonctionnel a été mis en ligne sur leur bug tracker Chromium public. La faille sous-jacente, découverte par la chercheuse indépendante Lyra Rebane, n’a toujours pas reçu de correctif officiel après 29 mois d’attente. En facilitant l’accès à ce « 0-day », Google expose de nombreux navigateurs basés sur cette technologie à des risques d’attaques immédiates.
Android 17 : zoom sur le mécanisme de vérification d’intégrité de l’OS
Android Authority nous apporte des détails sur le futur système de vérification cryptographique d’Android 17. L’OS permettra d’utiliser un second appareil physique externe pour attester que le système de fichiers du premier n’a subit aucune modification (absence de root, de bootloader déverrouillé frauduleusement ou d’implantation de spyware persistant). Cette fonction compliquera assurément certaines techniques de bypass physique en laboratoire de forensic, mais renforce considérablement la sécurité globale.
Votre navigateur Chromium détourné au sein d’un botnet
Une vulnérabilité touchant le moteur Chromium permet à des attaquants d’intégrer des ordinateurs à des réseaux de botnets à l’insu de leurs propriétaires. Le navigateur continue de fonctionner normalement sans comportement suspect apparent ni alerte système. C’est l’illustration type d’une défaillance applicative majeure que nous devons impérativement surveiller lors des audits de sécurité de postes de travail, le navigateur Web constituant souvent la première porte d’entrée pour l’exfiltration.
Fauxx : noyer les traqueurs publicitaires sous un bruit de fond statistique
Plutôt que de chercher à bloquer hermétiquement l’exfiltration de vos données sur Android, pourquoi ne pas les corrompre ? L’application Fauxx propose de générer en permanence un faux trafic en simulant des requêtes de recherche web variées, de faux déplacements GPS et de multiples empreintes de navigation. Si cette méthode d’obfuscation préserve votre vie privée face aux serveurs de tracking publicitaire, nous émettons tout de même des réserves quant à la consommation excessive de batterie qu’elle engendre.
🛠️ Hardware Hacking, IoT & Pentesting
Flipper One : le nouveau monstre de réseau sous Linux mainline
La firme Flipper Devices dévoile enfin le Flipper One, qui ne remplace pas le Flipper Zero mais ouvre une toute nouvelle catégorie. Animé par un processeur octa-core Rockchip RK3576 et équipé d’un microcontrôleur Raspberry Pi RP2350, ce boîtier tourne sous une distribution Linux complète sans blob binaire propriétaire. Avec son double port Gigabit Ethernet, sa connectivité Wi-Fi 6E et son option 4G/5G, il s’impose déjà comme le couteau suisse ultime pour l’analyse réseau active et le pentesting de routeurs industriels.
Fabriquez votre propre passerelle SMS API avec un vieux smartphone Android
Grâce au projet open source « SMS Gateway for Android » partagé par Korben, vous pouvez transformer n’importe quel terminal équipé au minimum d’Android 5.0 en passerelle programmable via une API REST. Plus besoin d’abonnements onéreux à des tiers pour vos campagnes d’audit d’ingénierie sociale (Smishing) ou la mise en place d’alertes physiques de monitoring. Une excellente méthode de recyclage de vieux matériel de test.
Coralboard : l’intégration locale de Google Gemma 3 via l’Astra SL2619
La carte de prototypage Coralboard embarque le tout nouveau SoC Synaptics Astra SL2619 équipé d’un NPU Google Coral offrant 1 TOPS de puissance de calcul. La carte permet d’exécuter localement des modèles d’intelligence artificielle compacts comme Google Gemma 3. Pour le traitement de signaux ou d’images en conditions déconnectées ou pour concevoir des passerelles IoT sécurisées, ce genre de puce d’inférence en périphérie de réseau réduit grandement l’exposition des données sensibles vers le cloud.
Repousser les limites de refroidissement du processeur A18 sur MacBook Neo
Le MacBook Neo, ordinateur d’entrée de gamme d’Apple, fait l’objet de modifications de refroidissement par des bidouilleurs de matériel informatique. Le youtubeur Salem Techsperts a montré comment le fait de modifier radicalement le système thermique passif permet de contrer totalement le throttling de la puce A18 et d’obtenir des benchmarks records. C’est la preuve par l’image que même les puces les plus efficaces subissent d’importantes baisses de charge de calcul lorsque le matériel n’est pas activement refroidi lors de lourdes tâches de reverse engineering.
Une console portable Lenovo « low-cost » suspecte mais bel et bien officielle
Une mystérieuse console portable à bas coût de marque Lenovo circule sur les marchés parallèles pour à peine 60 dollars. D’abord suspectée d’être une contrefaçon grossière ou un clone illégal, l’analyse révèle qu’il s’agit bien d’un produit officiel du géant chinois mais doté d’une intégration logicielle très sommaire. Ce type de matériel hybride illustre parfaitement les dérives de chaînes de production de grands groupes qui assemblent des microprogrammes sans aucun suivi de sécurité à long terme.
Forensic IoT : COROS connecte vos données physiologiques à ChatGPT
Le fabricant de montres de sport COROS intègre désormais le protocole MCP (Model Context Protocol) pour permettre l’analyse automatique des données de suivi physique par des IA externes comme ChatGPT. En tant qu’analystes, nous devons garder à l’esprit que ce type d’interconnexion multiplie les surfaces de fuites de données. Les traces de localisation GPS précises, les rythmes cardiaques et les habitudes de vie ne sont plus seulement stockés localement mais exportés vers des modèles cloud tiers.
Laisser un commentaire