🕵️ Digital Forensics & Investigation
FROST : Quand votre propre SSD sert de canal auxiliaire pour espionner votre navigation
Des chercheurs de l’Université de Graz, dont le réputé Daniel Gruss, viennent de lever le voile sur une attaque par canal latéral baptisée FROST. En exploitant l’API OPFS (Origin Private File System) disponible dans tous les navigateurs modernes, un simple site web piégé peut écrire massivement sur le SSD et analyser les micro-ralentissements physiques de l’écriture. Cette signature permet de deviner quelles autres applications ou onglets vous utilisez. Pour nous, analystes forensiques, c’est une preuve éclatante que le matériel lui-même peut trahir la vie privée de l’utilisateur sans laisser de traces évidentes dans les journaux système.
Audit IA de FreeBSD : 15 vulnérabilités critiques déterrées dans le noyau
Le blog Calif.io rapporte une expérience marquante : un audit de sécurité automatisé par IA sur le système d’exploitation FreeBSD. Le résultat fait froid dans le dos avec 15 vulnérabilités découvertes au niveau du noyau, dont 3 exécutions de code à distance (RCE), 5 élévations de privilèges locales (LPE) et une évasion de l’hyperviseur bhyve. Je trouve stupéfiant qu’un modèle de langage parvienne à repérer des failles logiques complexes que les fuzzer traditionnels ont ignorées pendant des décennies. Les méthodologies de revue de code s’apprêtent à changer radicalement de dimension.
OSINT & SIGINT : Traquer la fuite des ultra-riches grâce aux signaux ADS-B
D’après une publication de Korben, l’artiste-programmeur Kyle McDonald a mis en ligne l’Apocalypse Early Warning System. Ce projet OSINT écoute les récepteurs radio amateurs répartis sur le globe pour intercepter les trames ADS-B émises par les avions. En filtrant et en analysant en temps réel les mouvements inhabituels de plus de 35 000 jets privés de milliardaires, l’outil tente de détecter une éventuelle fuite coordonnée face à une crise globale majeure. Un superbe exemple de détournement de signaux radio pour de l’analyse comportementale de masse.
Utiq : Le tracking persistant des opérateurs télécoms qui contourne les cookies
Les géants européens des télécoms déploient discrètement Utiq, un identifiant de tracking publicitaire lié directement à l’adresse IP de votre ligne fixe ou mobile. Si vous cliquez trop vite sur un consentement, les opérateurs (comme Orange ou Vodafone) génèrent un jeton persistant au niveau réseau. Pour les investigations numériques, cette méthode de traçage est redoutable car elle s’affranchit des navigateurs et des suppressions de cookies de l’utilisateur. Nous devons impérativement intégrer ce vecteur dans l’évaluation de la vie privée sur mobile.
DShield : Un an de menaces passées au crible des pots de miel réseau
Le SANS Internet Storm Center (ISC) publie son rapport annuel basé sur les fichiers récoltés par les capteurs DShield. Grâce à des requêtes analytiques ES|QL sous Kibana, l’étude détaille les vagues d’attaques et de téléchargements de malwares qui ont culminé durant l’hiver. L’analyse montre une saisonnalité marquée de l’activité des botnets et des scanners. Ce type de Threat Intelligence est capital pour nous aider à mettre à jour nos bases de signatures d’attaques réseau et nos politiques de détection.
Sécurité Windows : Chrome déploie les clés de session liées au matériel (DBSC)
Google franchit un cap décisif dans la lutte contre le vol de session. Chrome intègre désormais l’implémentation « Device Bound Session Credentials » (DBSC) sous Windows, liant cryptographiquement vos cookies de session au module TPM de la machine. Si un pirate déploie un infostealer et parvient à extraire vos fichiers de session locaux, ces cookies resteront totalement inutilisables sur une autre machine physique. C’est une excellente nouvelle pour bloquer l’un des vecteurs d’intrusion les plus exploités du moment.
iOS 26 et FaceTime : Quand Apple fige vos communications en local
Depuis la mise à jour iOS 26, la fonction « Sensitive Content Warning » effectue un scan en temps réel du flux vidéo et audio lors des appels FaceTime. Si l’intelligence artificielle embarquée sur l’iPhone détecte de la nudité, la communication est immédiatement coupée et figée. C’est un cas d’étude fascinant d’analyse d’image locale (« on-device ») appliquée à la surveillance des flux. Cependant, sur le plan éthique et de la confidentialité, cette censure automatique et unilatérale d’Apple pose de sérieuses questions de souveraineté numérique.
Claude Code & Dynamic Workflows : L’orchestration d’agents autonomes pour l’audit de code
La dernière mise à jour d’Anthropic introduit les « Dynamic Workflows » au sein de Claude Code via le modèle Opus 4.8. Cette évolution permet d’orchestrer dynamiquement des dizaines de sous-agents IA spécialisés pour accomplir des tâches colossales. Pour les analystes en rétro-ingénierie et en audit de code, cela signifie qu’on peut enfin soumettre d’immenses dépôts logiciels complexes à un examen automatisé intelligent, capable de remonter des chemins d’exécution de vulnérabilités sans intervention humaine fastidieuse.
Simulations de sociétés par IA : 15 jours de dérive sous l’œil des chercheurs
La société Emergence AI a mené une expérience déroutante : peupler des micro-villes virtuelles avec des agents autonomes pilotés par différents modèles (ChatGPT, Claude, Grok) et les laisser s’organiser durant deux semaines. L’analyse comportementale montre comment les hallucinations et la logique faillible des LLM mènent progressivement à une perte de cohérence collective. C’est un champ de recherche forensique naissant : comprendre comment les failles d’intégrité de l’information peuvent déstabiliser des systèmes automatisés interconnectés.
Bug Chrome Android : Analyse d’une instabilité bloquant les bases SQLite
Un bug surprenant sur l’application Google Chrome pour tablettes Android verrouille les utilisateurs en dehors de leur propre navigateur en raison d’un conflit lié à la gestion multi-fenêtres. Lors d’analyses forensiques sur smartphone, ce type de dysfonctionnement applicatif peut altérer de façon inattendue l’intégrité des bases de données de navigation (historique, cookies). Il est indispensable de documenter ces incidents logiciels pour ne pas confondre un crash de base de données SQLite avec une tentative d’altération de preuves par l’utilisateur.
🚗 Automotive Security & Hardware Hacking
Vehicle Forensics : Le guide technique d’écriture de VIN dans l’EEPROM Nissan
Dans le milieu de l’expertise forensique automobile, l’analyse et la réécriture du numéro d’identification du véhicule (VIN) au niveau physique de l’ECU est essentielle pour déceler les maquillages de voitures volées. Un fil de discussion sur le forum RomRaider expose la méthodologie d’écriture directe du VIN dans l’EEPROM des modules Nissan. En comprenant comment les faussaires modifient ces blocs hexadécimaux à l’aide de programmateurs d’EEPROM (comme le T48 ou RT809), nous pouvons mieux outiller nos laboratoires pour identifier les incohérences de checksums et les contrefaçons logicielles.
SixBack : Rétro-ingénierie réseau d’un cloud audio Bose à l’aide d’un ESP32
La coupure unilatérale par Bose de son cloud d’anciennes enceintes connectées SoundTouch a rendu inutilisables leurs boutons de présélection physiques. Pour contrer cette obsolescence, le développeur Tostmann a mis au point « SixBack », un firmware ESP32. En interceptant les requêtes réseau locales de l’enceinte, l’ESP32 émule 22 points d’accès des serveurs d’origine disparus pour simuler un cloud local fonctionnel. Une leçon magistrale de reverse engineering de protocoles IoT sans toucher au firmware natif de la machine cible.
Cracked Oura : S’affranchir du cloud propriétaire de la bague connectée Oura Ring
La bague connectée Oura Ring impose un abonnement mensuel payant pour accéder à ses propres données biométriques collectées. Une initiative communautaire open source nommée « Cracked Oura » propose de contourner cette restriction. En interceptant et en analysant les paquets Bluetooth Low Energy (BLE) transmis par l’anneau au smartphone, l’application alternative extrait localement les mesures physiques brutes. Pour le pentester IoT, c’est une excellente étude de cas de sniffing BLE et de réappropriation de données matérielles verrouillées.
u-blox ALMA-B2 : Le premier module IoT embarquant de l’Edge AI et du Bluetooth 6.0
Le fabricant u-blox annonce sa gamme ALMA-B2, motorisée par le microcontrôleur Nordic nRF54LM20. Ce composant intègre un accélérateur de réseau neuronal (NPU) matériel nommé Axon, conçu pour exécuter des calculs d’intelligence artificielle locale à très faible consommation d’énergie. Supportant également la mesure de distance sécurisée « Channel Sounding » via Bluetooth 6.0, ce type d’architecture matérielle pose de nouvelles bases pour l’authentification forte des objets connectés et l’analyse de signaux sécurisés.
Kernel Linux 7.2 : Reverse engineering réussi pour faire tourner le GPU NVIDIA GA100 en libre
La communauté open-source célèbre une victoire technique de taille : le pilote graphique « Nouveau » de Linux va enfin prendre en charge la puce professionnelle NVIDIA GA100 (qui propulse les cartes de calcul intensif A100 pour data centers). C’est un exploit majeur en matière de rétro-ingénierie car cette carte n’embarque aucune sortie vidéo physique et sa gestion des files de calcul est particulièrement hermétique. Ce travail permet de s’affranchir des pilotes binaires propriétaires et d’examiner l’architecture de calcul au niveau noyau.
Laisser un commentaire