🕵️ Digital Forensics & Investigation
Le problème des pièces jointes Cloud : Le chaînon manquant de l’eDiscovery
Les pièces jointes physiques dans les e-mails appartiennent au passé. Aujourd’hui, les utilisateurs partagent des hyperliens pointant vers OneDrive, Google Drive ou SharePoint. Les analystes de Fookes Software alertent sur un problème critique : les outils de collecte standard ignorent souvent ces liens, laissant passer des preuves capitales. Pour contourner cet obstacle, nous utilisons des outils comme Aid4Mail afin d’automatiser l’extraction et l’audit défendable de ces fichiers distants, malgré les contraintes de clés d’accès expirées ou de permissions modifiées après l’incident.
Forensics sur le terrain : Gagner la partie avant d’entrer au labo
Stuart Hutchinson, vice-président des ventes chez ADF Solutions, insiste sur l’importance de la « golden hour » lors d’une perquisition numérique. Attendre qu’un disque arrive au laboratoire est un luxe que nous ne pouvons plus nous offrir. L’acquisition rapide et le triage des données directement sur la scène de crime permettent de geler les preuves volatiles et d’orienter immédiatement les enquêteurs de première ligne. Je recommande vivement cette approche hybride pour limiter le risque d’effacement à distance des appareils saisis.
Une vulnérabilité Huawei paralyse le Luxembourg pendant 3 heures
En juillet 2025, un black-out réseau total a frappé le Luxembourg. D’après les révélations récentes du média The Record, l’origine de l’incident est une faille non documentée dans le système d’exploitation d’un routeur d’entreprise Huawei. Un trafic réseau spécifiquement forgé a provoqué un redémarrage en boucle infini (bootloop) des routeurs cibles. Cet incident démontre la fragilité de nos infrastructures physiques face aux vulnérabilités logicielles de bas niveau non patchées.
Compromission de GitHub : Une extension VS Code piégée à l’origine de l’intrusion
Une attaque par supply chain particulièrement sournoise a ciblé GitHub. Un développeur interne s’est fait berner en installant une extension malveillante sur son éditeur VS Code, offrant aux attaquants un accès non autorisé à des dépôts de code internes. En tant qu’analystes, nous devons impérativement auditer les configurations des éditeurs de code et surveiller les processus enfants générés par ces outils de développement, qui agissent souvent comme de parfaits chevaux de Troie.
Trump Mobile : Un lancement entaché par des rumeurs de fuite de données
La commercialisation du smartphone lié à la marque Trump Mobile suscite l’inquiétude des spécialistes en sécurité. Des rapports font état d’une vulnérabilité potentielle au niveau de leurs bases de données clients, exposant des informations d’identification sensibles. C’est l’occasion de rappeler que ces terminaux mobiles rebrandés manquent cruellement d’audits de sécurité profonds avant leur mise sur le marché.
SANS ISC Stormcast : Point de situation sur les menaces émergentes
La session d’analyse de l’Internet Storm Center du SANS décortique les dernières signatures d’attaques réseau et les vulnérabilités de protocole exploitées à l’état sauvage. C’est un résumé indispensable pour actualiser nos règles de détection Snort ou YARA lors des missions d’investigation sur des réseaux d’entreprise compromis.
Android 17 durcit le ton contre l’audio clandestin en arrière-plan
Pour lutter contre les applications d’espionnage et les fuites de données privées, Google intègre de nouvelles restrictions sévères dans Android 17. Les applications devront obligatoirement utiliser un service de premier plan validé ou être en cours d’utilisation active pour manipuler les flux audio du microphone ou du haut-parleur. Un changement bienvenu qui limitera grandement les capacités de mise sur écoute des spywares commerciaux.
Android Halo : Traquer l’activité invisible des agents d’intelligence artificielle
Avec la prolifération des agents autonomes intégrés au système d’exploitation, Google lance « Android Halo », un système de transparence visuelle conçu pour indiquer en temps réel lorsqu’un processus d’IA agit en arrière-plan. Du point de vue forensique, ce type de journalisation système va devenir primordial pour déterminer si une action frauduleuse sur un smartphone a été exécutée directement par l’utilisateur ou par un script automatisé malicieux.
🚗 Automotive Security & Hardware Hacking
Écriture du VIN sur EEPROM : Techniques de reprogrammation et identification de véhicules
Sur le forum technique de RomRaider, l’analyse des calculateurs moteurs (ECU) Nissan et Subaru progresse. Les discussions autour de la réécriture du numéro d’identification du véhicule (VIN) directement dans la puce EEPROM physique révèlent les méthodes de contournement des protections logicielles d’origine. Pour les experts en Vehicle Forensics, la lecture brute de ces dumps mémoire par programmateur d’EEPROM (type T48 ou T56) est indispensable pour vérifier l’authenticité d’un calculateur et démasquer les cas de clonage d’ECU sur des véhicules volés ou maquillés.
Bug logique : Un essaim de robotaxis Waymo paralyse une rue résidentielle
Une cinquantaine de véhicules autonomes Waymo se sont retrouvés bloqués dans un rond-point à Atlanta, effectuant des manœuvres de demi-tour répétitives et créant un embouteillage surréaliste. Cette anomalie met en évidence la sensibilité des capteurs de guidage et des algorithmes d’évitement face à des modifications mineures de l’environnement physique. En réponse sur incident, l’accès aux logs de trajectoire de ces flottes IoT est crucial pour diagnostiquer ces défaillances systémiques.
Hacknect : Le câble d’espionnage USB doté d’une microSD cachée
Le projet Hacknect passe à l’étape du financement participatif. Sous l’apparence d’un câble USB Type-A standard, ce dispositif dissimule un microcontrôleur ESP32-S3 compatible Wi-Fi/Bluetooth et un lecteur de cartes microSD intégré dans la tête du connecteur. Il permet d’automatiser des frappes de clavier (BadUSB), d’injecter des scripts malveillants et d’exfiltrer des données à distance. C’est l’illustration parfaite du danger représenté par l’introduction d’un matériel inconnu dans une zone sécurisée.
Vision nocturne longue distance : 650m de portée avec un montage garage
Le projet DIY mené par la chaîne Project 326 repousse les limites de la surveillance physique à bas coût. En combinant un télescope à miroir concave imprimé en 3D, un puissant illuminateur laser infrarouge de 2W (longueur d’onde invisible de 940 nm) et une webcam débarrassée de son filtre IR, ils parviennent à obtenir une vision nocturne nette à plus de 600 mètres. Un détournement ingénieux qui démontre l’accessibilité de technologies d’espionnage optique avancées.
ODROID-H5 : La carte de choix pour monter une sonde forensique réseau
Hardkernel présente l’ODROID-H5, une carte mère miniature compacte équipée d’un SoC Intel Core i3-N300, d’un port réseau Ethernet RJ45 cadencé à 10 GbE et de quatre emplacements pour stockages NVMe M.2 PCIe. Avec une telle bande passante et des capacités de stockage haute vitesse en parallèle, cette carte à 250 $ s’annonce comme une base matérielle remarquable pour concevoir des sondes d’acquisition réseau mobiles ou des serveurs d’analyse forensique de terrain à bas coût.
XREAL Project Aura : Gros plan sur le boîtier matériel de traitement Android XR
Les spécifications physiques du boîtier (« computing puck ») de XREAL se précisent. Conçu pour déporter la puissance de calcul des lunettes connectées sous Android XR, le boîtier intègre un pavé tactile et assure la projection d’affichage. Pour l’analyse de sécurité des objets connectés (IoT Pentesting), l’accès physique à ce boîtier, l’analyse des signaux via bus I2C/UART ou l’extraction des micrologiciels seront essentiels pour auditer l’intégrité de la collecte de données de géolocalisation spatiale.
Firefly CSC2-N48SPK3 : Un serveur massif à base de puces RISC-V
Firefly lance un serveur haute densité de format 2U intégrant 48 nœuds RISC-V SpacemiT K3, chacun disposant de son propre stockage NVMe. Le tout est piloté centralement par un processeur ARM Rockchip RK3588. Ce type d’architecture distribuée hétérogène de 2880 TOPS pose de nouveaux défis en termes de rétro-ingénierie et d’analyse de la mémoire vive pour l’acquisition d’images d’exécution système (RAM capture).
Laisser un commentaire