🕵️ Digital Forensics & Investigation (DFIR)
Le point sur l’actu DFIR : IA générative, deepfakes et bien-être des enquêteurs
La plateforme Forensic Focus vient de publier sa revue de presse. On y aborde un sujet que je trouve trop souvent négligé dans nos métiers : l’impact psychologique sur les analystes DFIR confrontés à des contenus difficiles. Côté technique, les experts pointent du doigt les angles morts des « agents IA » en forensics et décortiquent les workflows d’analyse d’images deepfakes. Intéressant, car l’IA commence sérieusement à polluer nos processus de collecte de preuves.
Métadonnées vidéo : Maîtriser le timing avec Amped FIVE
Dans une enquête judiciaire, une fraction de seconde change tout. L’équipe d’Amped Software explique comment son outil phare, Amped FIVE, gère la synchronisation temporelle des flux vidéo. Le problème classique des CCTV, ce sont les variations de frame rate (CFR vs VFR) et les horloges internes décalées des caméras. Pour nous autres experts, valider la source de temps et préserver l’intégrité de la preuve vidéo est un casse-tête que cet outil résout brillamment, même si l’interface demande toujours une solide courbe d’apprentissage.
DFIR sous Windows : Les commandes Linux débarquent enfin en natif
Pendant des années, j’ai dû installer des packages comme GnuWin32 ou passer par WSL pour retrouver mes réflexes de terminal Linux sur Windows. Microsoft vient de lancer nativement « Coreutils for Windows ». Nous allons enfin pouvoir utiliser ls, grep, cp, ou find directement dans l’invite de commande Windows. Pour l’analyse rapide de logs sur un poste suspect lors d’une phase de triage, c’est un gain de temps inestimable qui nous évite d’importer des scripts tiers et de modifier l’empreinte thermique de la machine.
DFIR : L’essentiel de la ligne de commande Windows en cas d’incident
En réponse sur incident, la vitesse d’exécution fait foi. Hackingloops vient de publier un mémo des commandes Windows indispensables en CLI. Lors d’une intrusion en cours, je déconseille d’ouvrir des interfaces graphiques lourdes qui polluent les logs et modifient les structures de fichiers. Ce guide rappelle comment utiliser efficacement l’invite de commande pour lister les connexions actives, identifier les processus suspects en mémoire et isoler la machine en quelques secondes.
Android Forensics : Vers un contrôle granulaire des sauvegardes système
Google prépare une mise à jour qui permettra de choisir précisément quelles données d’applications inclure dans les sauvegardes Android cloud. Pour nous, spécialistes en forensique mobile, cette nouveauté est à double tranchant. D’un côté, cela pourrait compliquer l’analyse si l’utilisateur a délibérément exclu certaines applications de sa sauvegarde Google Drive. De l’autre, cela va nous obliger à privilégier encore plus les acquisitions physiques directes sur le stockage du téléphone via des exploits de bootloader.
OSINT : Un outil gratuit de recherche inversée de numéros chez Malwarebytes
Malwarebytes propose désormais un outil gratuit pour identifier si un numéro d’appel entrant est lié à des campagnes de phishing ou d’arnaques. Pour les enquêteurs numériques en phase de collecte d’informations (OSINT), ce type de base de données consolidée est un raccourci précieux pour lever le doute sur des attaques d’ingénierie sociale (vishing) ciblant les collaborateurs d’une entreprise. Une ressource simple, mais efficace, à ajouter dans notre boîte à outils.
🚗 Automotive Security & Hardware Hacking
Extraction de données : Le calvaire de l’identification des vieux calculateurs (ECU)
Sur le forum RomRaider, un membre galère à dumper et définir la cartographie mémoire d’un vieil ECU. C’est le quotidien de l’expertise automobile post-accident. Sans fichier de définition (XML) correspondant au firmware exact, impossible de mapper correctement la structure de la ROM pour en extraire l’historique des capteurs. Je conseille souvent dans ce cas d’ouvrir le boîtier pour repérer le microcontrôleur principal, de souder les pins UART ou JTAG et d’utiliser un programmateur physique comme le T48 ou le T56 pour obtenir un dump physique brut.
Reverse Engineering Automotive : Identifier les fausses références d’ECU
Encore une illustration des subtilités du reverse engineering d’ECU sur RomRaider. Un utilisateur cherchait des définitions pour un calculateur de Subaru Legacy, pensant avoir une référence « EE51500A ». Après analyse des experts du forum, il s’avère qu’il s’agissait d’un « I » (EE5I500A) et non d’un « 1 ». Ce genre de confusion est classique sur des dumps bruts ou des étiquettes à moitié effacées. Dans notre métier, une seule lettre d’écart dans la signature du firmware peut rendre l’extraction de données complètement illisible.
Espionnage à 50$ : Comment neutraliser la LED de sécurité des lunettes Ray-Ban Meta
Sur les lunettes connectées de Meta, une LED s’allume pour avertir les passants que vous filmez. Des modders ont trouvé une parade ultra simple : détruire physiquement cette LED ou couper sa ligne d’alimentation pour moins de 50 dollars. D’un point de vue hardware hacking, c’est basique. Mais d’un point de vue vie privée et OSINT, cela transforme un gadget grand public en outil d’interception vidéo redoutable et totalement indétectable lors d’opérations de surveillance physique.
Hardware Hacking : Recycler de vieilles télécommandes IR grâce à l’RP2040
Le projet open-source TTVKTR (Tossed The TV – Kept The Remote) montre qu’on peut faire des merveilles avec presque rien. En soudant un récepteur infrarouge standard de 38 kHz sur une carte microcontrôleur Raspberry Pi RP2040-Zero (qui coûte à peine 4$), on peut décoder n’importe quel signal IR d’une vieille télécommande pour le convertir en raccourcis clavier USB. En IoT pentesting, cette technique de capture et de réémission de trames infrarouges est indispensable pour cartographier les vecteurs d’attaque physiques sur des équipements isolés.
RF Hacking : Contrôler une radio CB à distance sans ouvrir le boîtier
Le bidouilleur « ThatCrazyDcGuy » a réussi à rendre sa radio CB Albrecht AE-5900 entièrement pilotable via un navigateur web. Le coup de génie ? Il n’a pas touché aux composants internes de l’appareil. En exploitant les signaux de contrôle de l’écran couleur et les pins de commande du micro, il a ponté un microcontrôleur pour émuler les pressions physiques. En interception de signaux (SIGINT) ou en audit physique, cette capacité à militariser ou automatiser des équipements radio analogiques sans laisser de traces d’effraction est particulièrement élégante.
Hardware artisanal : Des circuits imprimés fonctionnels cuits dans de l’argile
L’artiste Emily Velasco a réussi l’exploit de créer un circuit électronique fonctionnel à partir d’un disque d’argile, sans fibre de verre ni bain d’acide traditionnel. Inspirée par un collectif de hackeuses européennes, elle a utilisé ses propres émaux riches en cuivre pour tracer des pistes conductrices qui résistent à la cuisson. Certes, on ne va pas concevoir des serveurs ainsi, mais pour du prototypage furtif ou de l’éco-conception d’outils d’intrusion physique, l’idée de masquer de l’électronique fonctionnelle dans des objets du quotidien en terre cuite est brillante.
Système embarqué : Forlinx lance son SoM RK3572 avec noyau Linux 6.12
Forlinx a présenté son nouveau System-on-Module basé sur le processeur Rockchip RK3572, ciblant l’Edge AI et le contrôle industriel. Ce qui m’intéresse ici, c’est l’intégration d’un NPU de 4 TOPS et le support d’un noyau Linux 6.12 récent. Pour le pentest d’équipements industriels ou l’analyse forensique de passerelles IoT modernes, ce genre de cible matérielle représente un excellent terrain d’entraînement pour analyser la sécurité des bus d’extension et l’exposition du firmware.
Faille Meta AI : Quand un simple « s’il te plaît » permet de pirater un compte Instagram
C’est une bévue monumentale de la part des équipes de sécurité de Mark Zuckerberg. Des attaquants exploitent actuellement une faille dans les points d’accès API de Meta AI. En gros, Meta a masqué le bouton de l’interface utilisateur mais a laissé les endpoints ouverts. Résultat ? Il suffit d’interroger directement l’API en bypassant l’UI pour qu’elle livre l’accès aux comptes Instagram ciblés. J’ai souvent dit que masquer une fonction dans l’UI sans sécuriser l’API sous-jacente est une erreur de débutant.
HTTP/2 Bomb (CVE-2026-49975) : Une poignée d’octets pour saturer vos serveurs
C’est la vulnérabilité réseau qui secoue le web en ce moment. Baptisée HTTP/2 Bomb, cette faille permet de faire tomber des serveurs Nginx, Apache ou IIS avec une minuscule requête de quelques kilo-octets. En exploitant la décompression des en-têtes HPACK du protocole HTTP/2, l’attaquant force le serveur à allouer des gigaoctets de RAM en quelques secondes, provoquant un déni de service (DoS) immédiat. Pour nos audits de sécurité ou nos analyses post-incident (DFIR), c’est un cas d’école d’amplification de ressources.
Laisser un commentaire