🕵️ Digital Forensics & Investigation
Alors que Google excelle à créer du contenu synthétique, cet article soulève une question critique pour l’intégrité numérique : pourquoi la même technologie n’est-elle pas systématiquement utilisée pour signaler le faux dans tous ses produits ? Une préoccupation centrale pour l’OSINT et l’authentification des preuves numériques (Digital Provenance).
La release 1.13.0 de YARA-X apporte 4 améliorations notables et 4 corrections de bugs. YARA reste un outil indispensable pour les analystes de malwares et les équipes DFIR cherchant à identifier et classer des menaces complexes, garantissant des détections plus rapides et précises.
Suite à l’exploitation de la CVE-2026-21509 par APT28, les documents RTF (Rich Text Format) malveillants font leur retour. Ce guide technique est essentiel pour les analystes de sécurité, détaillant la méthode pour extraire rapidement les URLs cachées et les charges utiles associées, un must pour la réponse à incident.
Un retour d’expérience précieux sur l’utilisation de Ghidra pour décompiler et définir des tables et fonctions dans un ROM Subaru (LC, FFS, AutoBlip, Speed Density). L’auteur expose les défis rencontrés lors de la tentative de lecture des adresses RAM définies via RomRaider Dataloger, aboutissant à une boucle de connexion/déconnexion. Une étape critique dans l’ingénierie inverse et la preuve de modification d’ECU.
La quatrième beta de One UI 8.5 (série Galaxy S25) introduit la fonctionnalité « Direct Voicemail », qui inclut des transcriptions en direct. Pour le mobile forensics, cela signifie de nouvelles sources potentielles de données textuelles stockées sur l’appareil ou dans le cloud, enrichissant les artefacts pour les enquêtes.
🚗 Automotive, ECU & Embedded Security
Discussion très technique sur l’ingénierie inverse du Module de Contrôle de Transmission (TCU) Subaru 5EAT pour extraire la température de l’ATF. L’échange détaille les offsets de température, la localisation du `SSM_base` dans la ROM du TCU (M32r), et la corrélation des données entre le protocole CAN (0x422) et SSM. Un exemple parfait de Vehicle Forensics de bas niveau.
La carte Geniatech DB3506, basée sur le Rockchip RK3506, est conçue pour le contrôle industriel, les IHM et les passerelles IoT. Elle inclut des interfaces critiques pour l’Automotive Security et l’analyse industrielle, notamment le bus CAN, le RS-232/RS-485 et des ports Ethernet doubles. Son analyse matérielle est primordiale avant son déploiement massif.
Un utilisateur signale que sur un ECU WRX 2005 A4TE300D verrouillé, le « test write » de fastecu fonctionne, mais l’écriture réelle reste impossible. Ce type de verrouillage logiciel sur les calculateurs 16-bit pose des défis majeurs pour le tuning et, par extension, pour l’extraction de données lors d’une investigation post-crash ou post-modification non autorisée.
Question directe sur la localisation exacte du paramètre de limitation de vitesse dans le calculateur Nissan AQ861. La connaissance précise de ces adresses est fondamentale non seulement pour le tuning, mais aussi pour le Vehicle Forensics, permettant d’identifier si et quand la limite de vitesse a été altérée, un facteur clé dans certaines enquêtes accidentelles.
Une discussion approfondie sur les seuils de température (liquide de refroidissement et IAT) qui conditionnent l’activation de la pompe à air secondaire, et comment modifier les données ROM (ex. `Min-15 Max120` vers `Min120 Max120`) pour désactiver intentionnellement le système. Une modification typique qui laisse des traces dans l’ECU exploitables en forensic.
Le projet « ESP32 Desktop Monitor » montre comment utiliser une carte ESP32 T-Display bon marché comme un minuscule écran secondaire pour PC. Ce type de projet de bidouille matériel est pertinent pour comprendre l’interaction entre les systèmes embarqués minimalistes et les PC, une compétence clé pour le hardware hacking et l’exploitation de périphériques customisés.
Laisser un commentaire