🕵️ Digital Forensics & Investigation
Edge : Vos mots de passe en clair dans la RAM
C’est une nouvelle qui va faire grincer des dents dans nos labos DFIR. Un chercheur norvégien a démontré que Microsoft Edge stocke les identifiants en clair directement dans la mémoire vive du processus. Même si vous activez l’authentification avant le remplissage automatique, le « dump » de la RAM permet de tout récupérer. Je trouve cela proprement hallucinant pour un navigateur moderne en 2026. Pour nous, enquêteurs, c’est une mine d’or lors d’une analyse live, mais côté sécurité utilisateur, c’est un zéro pointé.
RCS : Le chiffrement E2EE enfin là entre Android et iOS
Nous l’attendions, Apple l’a fait avec la RC d’iOS 26.5. Le protocole RCS supporte désormais le chiffrement de bout en bout par défaut lors des échanges avec Android. Pour les investigations mobiles, cela signifie que l’interception réseau devient obsolète sur ces flux. Il faudra se concentrer sur l’extraction physique ou logique du terminal (Full File System) pour accéder aux messages, car le passage par le fournisseur ne donnera plus rien de lisible.
Android « Binary Transparency » : Une blockchain pour vos apps
Google déploie un outil pour vérifier l’intégrité des binaires Android via un registre public de type blockchain. L’idée est simple : s’assurer que l’APK que vous avez sur votre téléphone est strictement identique à celle publiée par le développeur. Dans un contexte de forensics, cet outil va nous permettre de détecter très rapidement si une application légitime a été « tamperisée » ou si un malware se fait passer pour une app officielle.
Analyse hebdomadaire TeamPCP : Tendances W18
Le rapport de la semaine 18 vient de tomber. On y voit une stabilisation des vecteurs d’attaque classiques, mais une montée en puissance des exfiltrations de données via des protocoles de communication IoT détournés. C’est une lecture indispensable pour anticiper les menaces que nous risquons de croiser sur le terrain dans les prochains jours.
DShield : Mise à jour des pots de miel
Le projet DShield déploie des mises à jour majeures sur ses honeypots. Si vous gérez vos propres sondes pour la collecte de signaux (SIGINT/CTI), vérifiez vos configurations d’auto-update. Les changements portent sur la manière dont les interactions sont logguées, ce qui devrait affiner la qualité des données de menaces que nous partageons au sein de la communauté.
🚗 Automotive & Hardware Security
Démontage d’un gimbal de drone Shahed-136
Un chercheur nommé Michel a réalisé un travail remarquable en autopsiant une caméra de drone Shahed-136 récupérée en Ukraine. On y découvre une caméra thermique montée sur un gimbal motorisé. Ce type de « Vehicle Forensics » sur du matériel militaire nous en apprend énormément sur les chaînes d’approvisionnement et les composants détournés (souvent civils) pour faire fonctionner ces engins. C’est du hardware hacking pur et dur, très instructif pour comprendre les limites de ces systèmes.
Renesas RZ/V2H : Une bombe pour la vision par IA
Nouveau kit de développement chez Renesas qui combine contrôle moteur et accélération IA (80 TOPS). Pourquoi c’est important pour nous ? Parce que ce genre de board se retrouve de plus en plus dans les systèmes de conduite autonome ou les robots industriels. Maîtriser ce hardware, c’est anticiper les vecteurs d’attaque sur les systèmes physiques où l’IA prend des décisions en temps réel sur les moteurs.
Face Unlock sous l’écran : La fin de l’encoche ?
Metalenz vient de présenter Polar ID, une techno capable de réaliser une reconnaissance faciale sécurisée à travers les dalles OLED. Contrairement à Apple qui bute encore sur l’intégration invisible, Metalenz utilise la polarisation de la lumière. D’un point de vue biométrique, c’est un nouveau défi : comment allons-nous tester la résistance aux attaques par présentation (leurres) sur ce type de capteur sub-pixel ?
T-Mobile : La couverture satellite franchit les frontières
Le service satellite de T-Mobile s’étend au Canada et à la Nouvelle-Zélande. En termes de géolocalisation forensique, cela change la donne. On ne dépend plus uniquement des antennes terrestres pour pister ou secourir un terminal dans les zones blanches. Les logs de connexion satellite deviennent une source de preuves potentielle dans les dossiers de disparition ou de grande criminalité transfrontalière.
AIVON : Prototypage PCB à bas coût
Pour ceux d’entre nous qui fabriquent leurs propres outils d’extraction hardware (adaptateurs UART/JTAG sur mesure), AIVON lance une offre agressive avec des crédits pour les nouveaux utilisateurs. Faire ses propres cartes pour interfacer des mémoires eMMC ou extraire des données via les ports debug devient de plus en plus accessible.
Congatec TC300 : L’IA Edge avec Wildcat Lake
Les nouveaux modules COM Express de Congatec embarquent les processeurs Intel « Wildcat Lake ». Ces modules sont le cœur de nombreux systèmes embarqués critiques. En tant qu’experts, nous devons garder un œil sur ces architectures pour savoir comment dumper les firmwares ou bypasser les sécurités de boot sur les équipements industriels de nouvelle génération.
SSL.com : Rotation du certificat racine aujourd’hui
Petit rappel infra : SSL.com procède à la rotation de son certificat racine ce 5 mai. Si vous avez des outils d’inspection SSL/TLS ou des proxies d’interception dans vos environnements de test, assurez-vous que vos trust stores sont à jour pour éviter les faux positifs ou les ruptures de flux lors de vos analyses réseau.
FCC : Nouvelles règles KYC contre le spam
La FCC durcit le ton contre les appels frauduleux avec des règles de « Know Your Customer » pour les opérateurs. Pour l’OSINT, c’est une excellente nouvelle : une meilleure traçabilité des numéros de téléphone signifie des pistes plus solides lors de l’identification d’acteurs malveillants derrière des campagnes d’ingénierie sociale.
Mises à jour : La fin de la confiance ?
Un article pointe du doigt le manque de fiabilité des promesses de mises à jour chez Samsung et Google. Entre bugs critiques et retards, la Timeliness est en berne. En DFIR, cela signifie que nous allons devoir gérer un parc d’appareils avec des niveaux de patch totalement hétérogènes, compliquant la tâche de corrélation des vulnérabilités exploitées.
Keyring : L’identité décentralisée version Harvard
Une application issue d’Harvard propose de gérer l’identité numérique sans passer par Google Wallet. Les données restent en local sur le téléphone. C’est un changement de paradigme pour nos saisies : si les données ne sont pas dans le cloud, l’extraction physique de l’enclave sécurisée devient l’unique chemin pour prouver l’identité numérique d’un suspect.
Laisser un commentaire