🕵️ Digital Forensics & Mobile Security
DarkSword : Le kit d’exploit qui met iOS à nu
C’est le genre de découverte qui nous rappelle que rien n’est inviolable. Google et iVerify ont débusqué DarkSword, une chaîne d’exploitation redoutable utilisant six failles, dont trois zero-day, pour compromettre totalement les iPhone. Si vous traitez des dossiers impliquant des surveillances d’État, sachez que ce kit a été utilisé par des acteurs russes et turcs. Apple a patché avec iOS 26.3, mais le parc de dispositifs vulnérables reste immense.
Google verrouille le sideloading : Une galère pour les labos ?
Google impose désormais une attente de 24 heures pour l’installation d’APK non vérifiés. Pour nous, en labo DFIR, c’est un frein de plus. Le « flux avancé » exigera une vérification d’identité gouvernementale pour les développeurs. Je trouve que l’argument de la sécurité a bon dos, c’est surtout une manière de transformer Android en jardin fermé. Heureusement, le bypass via ADB reste possible pour nos manipulations techniques.
Forensic Focus Digest : Données véhicules et défis IA
Le dernier digest de Forensic Focus est une mine d’or. J’ai particulièrement retenu l’intervention de Rob Fried sur les nouveaux défis du DFIR. On y parle aussi de l’analyse des données de navigation pour établir les actions des occupants d’un véhicule. Pour ceux qui utilisent Berla, ces réflexions sur la corrélation entre données télématiques et mobiles sont essentielles.
100 failles noyau Windows pour 600 dollars
Nous savions que l’IA allait changer la donne pour le fuzzing, mais là, c’est flagrant. Des chercheurs ont utilisé des agents IA pour débusquer des centaines de bugs dans les pilotes kernel de Windows pour une somme dérisoire. C’est une aubaine pour les créateurs de malwares, et un signal d’alarme pour nos analyses de rootkits.
Backdoor GSocket : Analyse d’un script Bash malveillant
L’équipe du SANS ISC a repéré un script Bash qui déploie une backdoor via GSocket. C’est un vecteur d’exfiltration furtif qui mérite notre attention lors des analyses de compromission Linux. Je vous conseille de surveiller les connexions sortantes inhabituelles liées à ce protocole dans vos rapports de trafic réseau.
🚗 Automotive & IoT Security
u-blox JODY-W6 : Le futur du Wi-Fi 6E embarqué
C’est le nouveau standard pour les modules de communication automobile. Le JODY-W6 de u-blox supporte le Wi-Fi 6E et le Bluetooth 5.4 LE. Pour nous, experts en sécurité automobile, cela signifie de nouvelles surfaces d’attaque sur les bandes 6 GHz dans les systèmes d’infodivertissement (IVI). Un composant à surveiller de près lors de vos prochains tests d’intrusion.
Cyborgs : Des cafards pour inspecter les canalisations
On croirait un scénario de SF, mais à Singapour, on équipe des blattes de processeurs et de caméras. Au-delà de l’anecdote, c’est une prouesse d’intégration matérielle. La miniaturisation de la transmission de données en temps réel dans des environnements confinés est un sujet qui touche directement au Hardware Hacking.
ESP32-P4 : Un écran tactile taillé pour l’IHM et l’IoT
Seeed Studio sort le reTerminal D1001 basé sur l’ESP32-P4. Avec ses capacités IA et son support optionnel LoRaWAN/4G, c’est une base parfaite pour concevoir des outils de diagnostic ou des terminaux de contrôle personnalisés. La présence d’un processeur RISC-V double cœur en fait une cible intéressante pour le reverse-engineering firmware.
🌐 OSINT & Privacy
La publicité ciblée comme outil de surveillance d’État
Nous savions que les courtiers en données étaient un problème, mais les douanes américaines utilisent carrément les enchères publicitaires (RTB) pour géolocaliser des téléphones sans mandat. En OSINT, c’est une confirmation que les métadonnées de localisation injectées par les apps mobiles sont des mouchards permanents.
Démantèlement de 4 botnets majeurs par le FBI
Opération coup de poing internationale : Aisuru, KimWolf, JackSkid et Mossad sont hors service. Ces réseaux contrôlaient 3 millions d’appareils IoT (caméras, routeurs). Si vous avez des clients victimes d’attaques DDoS massives récemment, l’origine se trouvait probablement là. On voit ici l’importance de la coopération entre les autorités américaines, canadiennes et allemandes.
Gemini sur macOS : Nouveaux artefacts en vue
L’application Gemini pour Mac arrive en beta avec des fonctions de partage d’écran (« Desktop Intelligence »). Pour les experts en analyse de RAM ou de systèmes de fichiers macOS, cela signifie de nouveaux journaux et des captures d’écran potentiellement stockées dans les dossiers de l’application. À surveiller de près dans vos extractions.
Voicebox : Le clonage vocal en local
ElevenLabs a du souci à se faire. Voicebox permet de cloner une voix avec seulement 3 secondes d’échantillon, le tout en local (via Docker ou app native). En matière de Deepfake Forensics, c’est un défi supplémentaire car l’absence de serveurs tiers rend la traçabilité de la création quasi impossible.
Google Messages déploie le partage de position en direct
Le déploiement est en cours. D’un point de vue DFIR, c’est un nouvel artefact de localisation dynamique dans l’écosystème Google. Lors d’une extraction de téléphone, il faudra vérifier les bases de données SQL de Messages pour retrouver les historiques de partage de position, souvent cruciaux dans les affaires de disparition.
Drivers MediaTek MT7902 sous Linux : Le hack facile
Bonne nouvelle pour ceux qui utilisent des laptops récents sous Linux pour leurs tests. Les drivers pour le chipset MT7902 ont été backportés. Si vous galérez avec le Wi-Fi 6 ou le Bluetooth sur vos machines de terrain, cette méthode simplifiée sur Ubuntu 24.04 va vous sauver la mise.
Llamafile : L’IA dans un seul binaire exécutable
Nous on aime ce qui est efficace et portable. Llamafile fusionne llama.cpp et Cosmopolitan Libc pour transformer un LLM en un simple fichier .exe ou binaire Linux. Pour faire tourner des outils d’analyse de log assistés par IA sur des machines isolées (Air-gapped), c’est la solution ultime.
Laisser un commentaire