🚗 Vehicle Forensics & Automotive Security
Magnet Autokey : L’accès aux données d’infodivertissement s’accélère
Magnet Forensics vient de frapper un grand coup avec Magnet Autokey. Pour nous qui luttons souvent avec le chiffrement des systèmes d’infodivertissement (IVI), cette solution promet un accès rapide et surtout non intrusif. C’est un gain de temps énorme pour les enquêteurs qui ont besoin de preuves numériques sans démonter la moitié de la planche de bord. On reste sur une approche très « investigation terrain ».
Analyse ECU : L’intégration du SH-2E dans Ghidra avance
Si vous manipulez des calculateurs japonais (souvent du Denso ou Hitachi), vous savez que le processeur Renesas SuperH est un classique. Sur les forums de RomRaider, les experts partagent leurs méthodes pour améliorer le reverse engineering de ces puces via Ghidra. J’ai trouvé les échanges sur l’implémentation des instructions SH-2E particulièrement pertinents pour ceux qui font de l’analyse statique de firmware.
Limites de l’écriture VIN dans l’EEPROM des puces SH7055/SH7058
Je surveille de près les travaux de Pytrex sur l’écriture du VIN via les commandes OBD $3B. Il semblerait que sur certains vieux modèles Nissan, même si l’on arrive à flasher l’EEPROM, le VIN ne soit pas forcément accessible via les services standards. C’est une info cruciale pour valider l’authenticité d’un module lors d’une expertise judiciaire ou pour détecter un clonage d’identité véhicule.
🕵️ Digital Forensics & Investigation
Le tour d’horizon DFIR du 22 avril : IA auditable et nouveaux parseurs
Le résumé de Forensic Focus met en avant une demande croissante pour une IA « auditable » dans notre métier. Je retiens surtout la mise à jour d’ALEAPP (3.4.1) qui intègre de nouveaux parseurs mobiles. C’est notre pain quotidien pour extraire des artefacts propres sur les dernières versions d’Android. Les recherches de Tailscale sur les artefacts Windows 11 valent aussi le détour.
Faille Kernel Apple CVE-2026-28825 : L’ombre de Microsoft
C’est assez ironique de voir Microsoft pointer une faille critique dans le noyau Apple. D’après les analyses de Calif.io, ce bug de type N-day permet une escalade de privilèges sérieuse. Pour nous, en forensics, cela signifie que des outils d’extraction avancés pourraient exploiter ce vecteur pour bypasser certaines sécurités système sur les iPhone encore vulnérables.
Apple corrige une faille active dans les services de notification
Apple a publié en urgence iOS 26.4.2 pour boucher la CVE-2026-28950. On parle d’une vulnérabilité déjà exploitée « dans la nature ». Si vous avez des terminaux sous scellés ou en cours d’analyse, vérifiez bien la version de l’OS. Ce genre de faille liée aux services de notification est souvent un point d’entrée pour des spywares sophistiqués.
Tor Browser : Vos identités liées par une faille IndexedDB
Grosse claque pour l’anonymat. Des chercheurs ont découvert que le bouton « Nouvelle Identité » ne nettoyait pas tout. Un identifiant stable persistait via IndexedDB, permettant de lier vos différentes sessions tant que le navigateur n’était pas totalement redémarré. C’est une information majeure pour les enquêtes OSINT ou la protection de vos propres sources.
🛠️ Hardware Hacking & IoT
Microchip CLB : De la logique programmable dans des MCU 8 bits
Microchip sort les PIC16F132 et PIC18-Q35 avec des blocs de logique configurable (CLB). On est proche d’un mini CPLD intégré. Pourquoi c’est intéressant ? Parce que cela permet d’exécuter des fonctions logiques de manière déterministe, sans passer par le CPU. Pour un attaquant (ou un auditeur), c’est une nouvelle couche matérielle à inspecter qui peut cacher des mécanismes de sécurité (ou des backdoors).
Espressif ESP-Claw : Des agents IA locaux pour l’ESP32
Espressif pousse son framework ESP-Claw pour faire tourner des agents IA en local. On sort du cloud pour traiter les décisions LLM directement sur la puce. En pentest IoT, cela veut dire que nous allons devoir analyser des scripts Lua embarqués qui gèrent des décisions complexes. La surface d’attaque se déplace vers l’autonomie de l’objet.
GitHub active la télémétrie par défaut sur son CLI
Attention à vos habitudes de dev. Depuis la version 2.91.0, le CLI `gh` envoie des données de télémétrie sans demander votre avis explicitement. Identifiant d’appareil, OS, commandes tapées… Pour ceux qui travaillent sur des environnements sensibles ou des machines de saisie forensics, il va falloir penser à désactiver ça manuellement dans la config.
Laisser un commentaire