🕵️ Digital Forensics & Investigation
Le tour d’horizon Digital Forensics de Forensic Focus
L’actualité DFIR est dense ce mois-ci. On y parle notamment des nouvelles conférences MSAB sur l’extraction mobile, de l’analyse des données de véhicules (un sujet que je surveille de près) et des risques liés aux deepfakes audio. La recherche en memory forensics avance aussi, ce qui est crucial quand on doit chasser du malware résident en RAM sans laisser de traces.
Aid4Mail : Combler les lacunes des preuves email
Si vous faites de l’eDiscovery, vous savez que les plateformes généralistes ratent souvent des pièces jointes dans le cloud. Aid4Mail propose une solution pour récupérer ces données manquantes et utiliser l’IA pour classifier les preuves. C’est le genre d’outil qui fait gagner un temps monstrueux quand on traite des To de PST ou d’archives Gmail.
Maîtriser le triage rapide avec ADF Pro
Richard Frawley anime un webinaire le 25 mars sur ADF Pro. Pour nous, les gars de terrain, le triage est l’étape la plus critique : savoir en quelques minutes si un disque ou un smartphone contient des preuves pertinentes avant de lancer une acquisition complète. C’est l’outil idéal pour rationaliser le flux de travail en labo.
Faille MediaTek : Trustonic riposte
L’affaire de la vulnérabilité des puces MediaTek rebondit. Trustonic conteste les affirmations selon lesquelles son logiciel est en cause. Pour nous, cela signifie que le périmètre de la faille est encore flou. Si le TEE (Trusted Execution Environment) est compromis, l’intégrité de l’appareil est potentiellement nulle, un cauchemar pour la preuve numérique.
Analyse du malware « iranbot » via Cowrie
Les capteurs DShield ont intercepté une activité intéressante sur le port Telnet. Un attaquant utilise des commandes « echo » spécifiques mentionnant « iranbot was here ». L’analyse des logs Cowrie montre des tentatives de login réussies et des scans de ports. C’est un excellent rappel de l’importance de surveiller les honeypots pour anticiper les nouveaux payloads.
Sécurité Web : Adminer dans le viseur des scanners
On voit une recrudescence de scans ciblant « adminer.php ». Bien que plus récent et réputé plus sûr que phpMyAdmin, Adminer reste une cible de choix car il s’agit d’un fichier unique souvent laissé sans protection par les administrateurs. Un point d’entrée classique pour une injection ou une fuite de base de données.
SANS Stormcast : Le condensé cyber du 19 mars
Le podcast du jour revient sur les dernières vulnérabilités critiques. Je vous recommande l’écoute, c’est court et ça permet de savoir quelles vulnérabilités surveiller pour nos prochaines investigations ou audits de sécurité.
Bugs de verrouillage sur les Google Pixel
Après la mise à jour de mars, plusieurs utilisateurs rapportent des écrans de verrouillage figés. En forensics, ce genre de bug peut soit nous aider à contourner certaines sécurités, soit rendre l’extraction physique impossible sans redémarrage. On attend la réponse de Google sur ce point.
🚗 Automotive Security & IoT
Grinn GenioSoM-360 : De l’IA pour l’embarqué contraint
Basé sur le MediaTek Genio 360P, ce module (SoM) de seulement 30x30mm embarque un accélérateur de 7.4 TOPS. C’est typiquement le genre de composant qu’on va retrouver dans les futures unités télématiques ou les caméras embarquées des véhicules pour du traitement d’image en temps réel. Sa petite taille facilite l’intégration dans des espaces très réduits.
PycoClaw : Agents IA sur ESP32
On assiste à une démocratisation de l’IA sur microcontrôleurs. PycoClaw permet de faire tourner des agents compatibles OpenClaw sur de l’ESP32 via MicroPython. Pour les pentesters IoT, c’est une mine d’or pour automatiser des interactions physiques ou logiques directement sur des cibles matérielles à bas coût.
Hardware Hacking : Recycler les manettes Stadia en adaptateurs Bluetooth
Un projet DIY intelligent montre comment transformer une vieille manette Stadia en adaptateur Bluetooth pour d’autres gamepads filaires. C’est une belle application de réutilisation de hardware. Pour nous, c’est aussi une démonstration de la flexibilité de ces puces une fois qu’on a la main sur le firmware.
iPhone 16e : Un pas vers la modularité matérielle ?
Apple semble ouvrir la voie à une meilleure compatibilité des pièces entre ses modèles. Le partage de composants entre l’iPhone 16 et le 16e facilite les réparations et, par extension, les opérations de « chip-off » ou de swap de composants en laboratoire forensics quand un appareil est trop endommagé pour une extraction classique.
Sécurité des serveurs : Pourquoi installer un « Dead Man’s Switch » ?
Un article intéressant sur la mise en place d’un « interrupteur de l’homme mort » sur un serveur domestique. En cas d’absence prolongée de l’administrateur, le système peut s’auto-verrouiller ou détruire des clés de chiffrement. Une technique d’OpSec avancée que je recommande pour protéger ses données sensibles en cas de saisie ou d’imprévu.
IA & Vie Privée : Google libère l’intelligence personnelle
Gemini peut désormais accéder à vos données personnelles sans abonnement payant. C’est génial pour l’utilisateur, mais c’est une nouvelle source de données massives à analyser pour les enquêteurs numériques. Plus l’IA en sait sur vous, plus le « cloud forensics » devient riche en informations contextuelles.
Fairphone 6 : Android 16 en avance
Fairphone surprend avec un déploiement anticipé d’Android 16. Pour la communauté forensics, cela signifie qu’il faut déjà mettre à jour nos outils d’extraction pour supporter les nouveaux mécanismes de sécurité d’Android 16 sur ce hardware spécifique. La réactivité du constructeur est exemplaire.
Laisser un commentaire