🕵️ Digital Forensics & Threat Intelligence
Supply Chain : L’offensive furtive de TeamPCP infiltre des dépôts GitHub et des SDK Microsoft
Les attaques sur la chaîne d’approvisionnement logicielle franchissent un nouveau cap d’audace. Les analystes de SANS ISC rapportent que le groupe cybercriminel TeamPCP opère désormais sur trois écosystèmes de paquets différents en parallèle. Plus inquiétant encore, les attaquants ont réussi à injecter du code malveillant dans des dépôts internes de GitHub et à trojaniser un SDK Python officiel publié par Microsoft. C’est le genre d’incident qui nous rappelle qu’aucun canal de distribution de code n’est trop grand pour être compromis.
L’infostealer ACR distribué via des fausses pages d’IA Claude
L’ingénierie sociale utilise le battage médiatique des LLM pour piéger les professionnels. Une campagne d’infection active propage le malware ACR Stealer à travers des sites d’hameçonnage imitant l’assistant IA Claude d’Anthropic. Lors de nos analyses d’incidents (IR), nous constatons que ces voleurs de mots de passe ciblent massivement les sessions de navigateurs pour dérober des identifiants, des cookies de session et des portefeuilles de crypto-monnaies. Une vérification systématique des journaux DNS et des téléchargements récents sur les postes sensibles s’impose.
Vecteur d’attaque : La persistance du code VBA malveillant dans les bases Microsoft Access
On oublie trop souvent que les bases de données d’ancienne génération restent des vecteurs d’attaque redoutables. Le SANS Institute rappelle qu’un simple fichier de base de données Microsoft Access (.mdb ou .accdb) peut héberger du code VBA malveillant de la même manière qu’un document Word ou un tableur Excel. En forensic système, l’analyse de ces artefacts exige des outils spécifiques pour inspecter les macros cachées dans le moteur Jet, souvent oubliées par les solutions de détection classiques basées sur les signatures d’Office standard.
Détournement d’affiliation : Quand l’OS de Motorola intercepte silencieusement l’application Amazon
C’est une découverte qui fait grincer des dents. Sur certains téléphones de la marque, l’application système préinstallée ‘Smart Feed’ intercepte le lancement de l’application officielle Amazon pour y injecter un paramètre d’affiliation tiers. Une pratique douteuse, à la frontière du comportement de type adware/malware publicitaire, qui viole potentiellement les conditions générales d’Amazon et pose d’évidents soucis d’éthique et de transparence sur les données de navigation des utilisateurs.
Play Store : Les clones du jeu Tomodachi Life cachent des adwares agressifs
La modération de la boutique officielle de Google montre encore une fois ses limites. Une multitude de fausses applications reprenant l’identité du célèbre jeu Tomodachi Life pullulent actuellement sur le Play Store. Derrière ces interfaces trompeuses se cachent généralement des régies publicitaires agressives, voire des chevaux de Troie de type fleeceware ou adware. L’occasion de rappeler que l’analyse statique et dynamique des APK suspects reste une discipline essentielle pour détecter les mécanismes d’évasion d’analyse comportementale.
Morphe : Le smali patching s’étend aux applications de streaming sur Android TV
À l’origine conçu pour neutraliser les publicités sur YouTube Android TV via la modification dynamique de binaire, l’outil open-source Morphe est détourné par sa communauté pour s’attaquer à d’autres applications de streaming propriétaires. En injectant du code personnalisé (smali patching) au sein des APK, les utilisateurs parviennent à contourner les restrictions et les bandeaux publicitaires. Un excellent exemple d’analyse de techniques de runtime patching appliquées aux environnements Android TV.
Heretic : Un outil supprime la censure des LLM en moins de 30 minutes
Le chercheur Philipp Emanuel Weidmann a publié Heretic, un script Python qui permet d’éliminer les barrières d’alignement éthique (la censure) imposées par les créateurs de modèles d’intelligence artificielle (comme Qwen). Pas besoin d’un supercalculateur : une simple carte graphique grand public suffit pour recalculer les poids de guidage en moins d’une demi-heure. C’est une illustration éclatante de la fragilité de la sécurité au niveau applicatif des LLM : dès lors qu’un modèle tourne localement, l’utilisateur en conserve le contrôle absolu.
Forensics Mobile : Google Play va bientôt lister les applications orphelines sur vos terminaux
Une future mise à jour de sécurité du Google Play Store pourrait alerter les utilisateurs lorsque des applications installées sur leur terminal ont été définitivement retirées de la plateforme et coupées de tout support. En forensic mobile, ce type d’alerte nous aidera à repérer rapidement les applications potentiellement orphelines, souvent ciblées par des acteurs malveillants pour racheter les domaines de mise à jour ou détourner des fonctionnalités via des SDK tiers obsolètes.
SANS ISC Stormcast : Un point quotidien sur le cyber-renseignement opérationnel
Nous suivons de près le podcast de l’Internet Storm Center (SANS). C’est une mine d’or quotidienne pour identifier les dernières vagues de scans de ports, les exploits de type zero-day et les techniques d’obfuscation de scripts utilisées par les attaquants en conditions réelles. Un rendez-vous incontournable pour maintenir nos bases de signatures IDS/IPS et nos règles de détection à jour.
🚗 Automotive, IoT & Hardware Pentesting
Un pilote Linux non officiel libère le sniffer BLE à bas coût WCH Analyzer Pro
Si vous faites du reverse-engineering d’objets connectés, le dongle WCH BLE Analyzer Pro à 20 $ vous a sûrement fait de l’œil. Seul bémol : le fabricant limitait son logiciel à Windows. Un développeur indépendant sous le pseudo de Xecaz a décidé d’analyser le protocole USB par rétroconception. Résultat ? Un outil en ligne de commande sous Linux utilisant libusb qui extrait les paquets interceptés au format PCAP. On peut désormais analyser le trafic Bluetooth Low Energy de serrures ou de capteurs IoT directement dans Wireshark, sans dépendre de l’écosystème fermé d’origine.
ESPHome 2026.5.0 : Un nouveau Device Builder et de grosses optimisations de bas niveau
Nos chers microcontrôleurs ESP32 et ESP8266 reçoivent une mise à jour d’envergure. Cette mouture d’ESPHome introduit un tout nouvel éditeur de configuration web (en bêta) pour remplacer le vieux dashboard rigide. Côté performances, le noyau de l’ordonnanceur et le watchdog de tâche ont été optimisés, réduisant de facto la consommation électrique. Pour les chercheurs en sécurité IoT, les nouveautés clés résident dans le durcissement du mécanisme d’OTA (mise à jour de la table des partitions et récupération après soft-brick) et l’intégration native de l’ESP-IDF v6.0.1.
RAK6421 WisMesh : Le HAT modulaire qui transforme un Raspberry Pi en passerelle Meshtastic
Le réseau maillé décentralisé LoRa prend de l’ampleur. RAKwireless lance une carte d’extension physique pour Raspberry Pi 4 et 5 particulièrement intelligente. Plutôt que d’intégrer un contrôleur radio figé, le HAT RAK6421 propose deux slots IO WisBlock et quatre interfaces pour capteurs. On peut ainsi y greffer des modules radio comme le RAK13300 ou des variantes haute puissance de 1W. Pour les pentesters radio ou les architectes de réseaux tactiques d’urgence (SIGINT / communication hors-ligne), c’est une plateforme d’expérimentation d’une flexibilité rare.
Sécurité automobile : Google simplifie le partage et l’investigation des clés de voiture numériques
Le contrôle d’accès automobile se dématérialise à vitesse grand V. Google Wallet intègre une mise à jour facilitant le partage et la révocation des clés de voiture numériques sous Android. Du point de vue de la sécurité automobile et de l’expertise judiciaire sur véhicules (Vehicle Forensics), ce stockage centralisé soulève des questions passionnantes. L’extraction forensic des jetons d’authentification (tokens de partage) stockés dans l’élément sécurisé (Secure Element) du smartphone devient une étape cruciale pour reconstituer qui avait légalement l’accès à un véhicule au moment d’un incident.
Ferrari intègre des écrans de smartphones Samsung dans son tableau de bord
La convergence entre la téléphonie mobile et l’automobile atteint un nouveau sommet avec la Ferrari Luce. Son tableau de bord utilise des dalles OLED initialement conçues pour les smartphones haut de gamme de Samsung. Pour nous, ingénieurs en sécurité et amateurs de hardware hacking automobile, cela confirme une tendance claire : l’architecture matérielle des véhicules modernes (infodivertissement, combinés d’instruments) hérite directement des puces de gestion d’affichage, des protocoles MIPI DSI et des contrôleurs tactiles des smartphones. Une aubaine pour transposer nos techniques d’analyse physique (glitch de tension, sniffing de bus de données d’affichage) au monde automobile.
Bada : Le partage Quick Share de Google s’affranchit des Play Services
Comment échanger des fichiers en local sans l’infrastructure Google Play Services ? C’est le défi relevé par Bada, une application open source qui apporte le support de Quick Share aux smartphones dépourvus de services Google (comme les appareils Huawei ou les versions de ROM alternatives chinoises). Pour le reverse-engineering réseau, ce projet montre comment le protocole propriétaire d’appairage rapide de Google a pu être déconstruit et émulé pour s’intégrer de manière fluide dans des environnements sandboxés et décentralisés.
Laisser un commentaire