🕵️ Digital Forensics & Cybersecurity
Faille MCP : 200 000 serveurs exposés à l’exécution de code
Les chercheurs d’OX Security viennent de lâcher une bombe sur le protocole Model Context Protocol (MCP) d’Anthropic. Une faille de conception dans l’interface STDIO permet de créer des sous-processus sans aucun contrôle, ouvrant la porte à l’exécution de commandes système arbitraires. C’est une catastrophe pour la supply chain : les packages concernés dépassent les 150 millions de téléchargements. Si vous intégrez des agents IA dans vos workflows, vérifiez vos SDK Python ou TypeScript immédiatement.
WordPress : Un pirate rachète 30 plugins pour y loger une backdoor
C’est le scénario cauchemar du DFIR. Un attaquant a racheté légalement un catalogue d’extensions via Flippa, a patiemment attendu huit mois, puis a injecté du code malveillant. Plus de 30 plugins sont infectés. Si vous gérez des serveurs WordPress, une simple mise à jour ne suffira pas cette fois-ci pour garantir l’intégrité de vos fichiers. Le nettoyage s’annonce chirurgical.
Claude trouve une RCE dans qmail en moins de deux heures
D’après les tests de Calif.io, Claude a réussi à auditer le code de Sagredo’s qmail et à générer un exploit fonctionnel contre une vulnérabilité RCE. 101 minutes de réflexion pour l’IA, et un fork pourtant largement déployé se retrouve à nu. Pour nous, experts en sécurité, cela confirme que l’audit automatisé par LLM devient une arme redoutable, tant pour les attaquants que pour les défenseurs.
Le noyau Linux purge le support des CPU russes Baikal
C’est un tournant géopolitique dans le code source de Linux. Le support matériel des puces Baikal-T1 (architecture MIPS) est en cours de suppression. Après des années de tensions liées aux sanctions internationales, les mainteneurs ont décidé de retirer les drivers. Un signal fort pour ceux qui travaillent sur l’infrastructure souveraine ou les systèmes embarqués russes.
Données utilisateurs : L’EFF tacle Google sur ses promesses
L’Electronic Frontier Foundation (EFF) conteste vivement la réponse de Google suite à un scandale de transmission de données après une assignation de l’ICE. Google prétend que ses exceptions s’appliquent, mais l’avocat de l’EFF affirme le contraire. Pour nos enquêtes DFIR, c’est un rappel brutal : la politique de conservation et de divulgation des données des géants de la tech reste un terrain mouvant et risqué.
L’IA dans les investigations numériques : Confiance vs Auditabilité
Emil Opachevsky (fondateur de Cyincore) revient sur l’intégration de l’IA dans le forensics. Son point de vue est tranché : l’IA peut aider, mais sans supervision humaine et sans preuve tangible extraite du support physique, elle n’a aucune valeur légale. Je suis d’accord avec lui, le risque de « boîte noire » est incompatible avec les standards de la justice.
Bug Cisco : 5 Mo de logs inutiles saturent les points d’accès
Plus de 230 modèles de bornes Wi-Fi Cisco sont touchés par un bug de log (cnssdaemon.log) qui sature la mémoire flash en quelques mois. Problème majeur : impossible de supprimer manuellement ces logs via le CLI. Un cas d’école de déni de service involontaire lié à une mauvaise gestion logicielle des ressources matérielles limitées.
🚗 Automotive & IoT Forensics
Samsung « Tap to Share » : Un nouveau vecteur pour le Forensics Mobile ?
Une fuite de One UI 9 révèle une fonction « Tap to Share » inspirée d’AirDrop. Pour nous, cela signifie de nouveaux artefacts à analyser dans les logs système lors de transferts de fichiers à proximité. Ce type de partage de proximité laisse souvent des traces dans les bases de données Bluetooth/NFC que nous exploitons avec nos outils habituels.
Pixel Glow : Vers des changements matériels majeurs sur le Pixel 11
Les rumeurs autour de l’outil « Pixel Glow » suggèrent que Google pourrait intégrer des panneaux arrière RGB ou des capteurs visuels interactifs. Pour le hardware hacking, c’est une nouvelle surface d’attaque ou d’extraction de données via les contrôleurs de LED ou de retour haptique. Nous suivons cela de près.
Boardcon Tiny1126B : Une plateforme compacte pour l’IA de vision
Basé sur le SoC Rockchip RV1126B, ce module ultra-compact (34x30mm) cible les caméras intelligentes et les systèmes de surveillance conducteur (DMS). Avec ses deux connecteurs 100-pin, c’est une cible parfaite pour l’analyse de firmwares IoT et le sniffing de bus UART/I2C. Un bon candidat pour nos futurs tests en labo.
Android XR : Des lunettes connectées Gucci et Google pour 2027
Le groupe Kering (Gucci) confirme l’arrivée de lunettes XR sous Android XR. Pour le forensics, les wearables sont des mines d’or d’OSINT géographique et de données biométriques. Imaginez les artefacts de positionnement et de capture vidéo que ces objets vont stocker.
Samsung Now Brief : L’IoT s’invite sur vos frigos et TV
Samsung étend son système « Now Brief » au-delà des téléphones. Les réfrigérateurs et téléviseurs vont désormais centraliser et afficher des résumés d’activités. En tant qu’enquêteurs, cela multiplie les points de persistance et les sources de preuves dans la maison connectée. Un frigo pourrait bien devenir un témoin clé.
Walmart Onn 4K Pro : Le nouveau boîtier streaming sous la loupe
Le successeur du populaire boîtier Onn fait son apparition. Ces appareils sous Android TV sont souvent peu sécurisés au niveau matériel (facilité d’accès au mode Recovery ou UART). C’est une cible idéale pour comprendre comment les données de streaming et les comptes utilisateurs sont sécurisés en local.
Mozilla Thunderbolt : Un client IA open source et auto-hébergé
MZLA (Thunderbird) lance Thunderbolt. L’idée est de faire tourner l’IA sur votre propre infrastructure plutôt que chez OpenAI. Pour la confidentialité des entreprises, c’est une excellente nouvelle, mais pour nous, cela signifie des environnements plus diversifiés à auditer lors d’une analyse de poste de travail.
L’infection Lumma Stealer couplée au RAT Sectop
Le SANS Institute documente une campagne active mêlant le voleur d’infos Lumma et le RAT Sectop. Le vecteur d’infection et la persistance sont classiques mais efficaces. C’est une excellente lecture pour mettre à jour vos indicateurs de compromission (IoC) sur les environnements Windows récents.
Laisser un commentaire