🕵️ Digital Forensics & Investigation (DFIR)
Forensics : Pourquoi vos extractions mobiles rament (et ce n’est pas la faute du logiciel)
Alex Coley d’MSAB met le doigt sur un problème récurrent dans nos labos : le câblage. On accuse souvent le soft d’extraction d’être trop lent lors des dumps physiques, mais en réalité, la bande passante réelle d’un câble USB de mauvaise qualité ou mal étiqueté bride totalement les transferts. En forensics, chaque minute compte. Choisir et valider ses câbles de dump selon des critères stricts de bande passante testée, c’est la base, mais c’est trop souvent négligé au profit de solutions logicielles coûteuses.
Veille DFIR : Framework IA du SANS, risques psychologiques et CSAM généré par IA
La sélection hebdomadaire de Forensic Focus aborde des sujets très sensibles pour la profession. Entre le nouveau framework du SANS conçu pour intégrer l’IA de manière éthique en forensics et la dure réalité des risques psychologiques pour les analystes confrontés au CSAM (ici complexifié par la montée en puissance d’images synthétiques devant les tribunaux américains), notre métier change rapidement. On y découvre également Perceptor, une plateforme d’investigation open-source prometteuse.
Cellebrite Genesis : L’agent IA pour automatiser le tri des preuves numériques
Cellebrite s’apprête à dévoiler sa nouvelle arme, Genesis, le 17 juin prochain. L’objectif est d’exploiter une IA agentique pour traiter l’énorme volume de données extraites des smartphones et faire remonter automatiquement les pistes prioritaires. Je reste toujours un peu sceptique sur la dépendance excessive à ces filtres automatisés dans le cadre judiciaire, mais face à l’overload de gigaoctets par enquête, trier manuellement devient un gouffre financier et temporel.
Magnet User Summit 2027 : Appel aux experts DFIR pour partager leurs techniques
Si vous travaillez sur l’extraction physique, la rétro-ingénierie d’artefacts obscurs ou le reverse de puces IoT, c’est le moment d’intervenir. Magnet Forensics vient d’ouvrir son appel à propositions pour ses sommets de 2027 (physique et virtuel). Les dossiers doivent être soumis avant le 28 août 2026. Une opportunité idéale pour la communauté de présenter des cas pratiques de puces mémoires dessoudées ou d’attaques par glitching.
Responsabilité Juridique : Google jugé légalement responsable des erreurs d’AI Overviews
Un tribunal américain vient de rendre une décision qui va bousculer le web : Google est tenu responsable des erreurs et des fausses allégations générées par ses encadrés d’IA (AI Overviews), notamment dans des affaires de diffamation. Pour l’analyse de preuves numériques et l’étude de la désinformation en ligne, cela pose un jalon juridique majeur. Les géants de la Tech ne pourront plus se retrancher derrière le simple statut d’hébergeur passif.
⚡ Hardware Hacking, RF & SDR
Émulation MSX2+ Bare-Metal sur ESP32-S3 : L’art de l’optimisation matérielle
Ivan Svarkovsky a développé S3-MSX-PC, un émulateur MSX2+ codé en bare-metal sur un microcontrôleur ESP32-S3. Ce projet brille techniquement : il utilise un réseau de résistances R-2R pour générer un signal VGA 64 couleurs directement depuis les pins GPIO en exploitant le périphérique matériel LCD_CAM de l’ESP32. C’est le genre de manipulation de signaux bas niveau qu’on adore analyser pour détourner du matériel et extraire des firmwares.
piBrick PocketCM5 : Le terminal Linux de poche ultime pour le pentest physique
Le maker Ahmad Amarullah a conçu le piBrick PocketCM5, un ordinateur Linux open-source basé sur le module Raspberry Pi CM5. Équipé d’un écran AMOLED tactile de 3,92 pouces, d’un clavier de type BlackBerry et d’un coprocesseur RP2040 pour gérer les entrées physiques, c’est la machine idéale pour les audits sur le terrain. Accès direct via UART, capture réseau ou branchement sur bus CAN de véhicule, les possibilités pour l’analyse embarquée sont immenses.
PZSDR P047 : Une carte SDR haut de gamme basée sur l’AMD Zynq UltraScale+
On change d’échelle avec la carte SDR PZSDR P047. Bâtie autour d’un SoC AMD RFSoC (Zynq UltraScale+ ZU47DR) qui embarque des cœurs ARM Cortex-A53/R5F, du FPGA et surtout 8 canaux ADC/DAC RF natifs. Pour l’analyse de signaux radio complexes (SIGINT), le sniffing de réseaux cellulaires privés ou la rétro-ingénierie de clés de véhicules, c’est un monstre de puissance technologique, hors de portée du bidouilleur mais indispensable pour la recherche avancée.
Obfuscation de code : Un émulateur Game Boy complet écrit dans moins de 5 Ko de C
L’édition 2025 du célèbre concours IOCCC a récompensé un chef-d’œuvre de complexité inutile : un émulateur Game Boy capable de faire tourner Tetris, le tout condensé dans un code C d’une illisibilité totale faisant moins de 5 Ko. Pour nous qui faisons de l’analyse de malware ou du reverse engineering de micrologiciels malveillants, décortiquer ce genre de prouesse rappelle à quel point l’obfuscation statique peut être poussée au rang d’art par des développeurs malins.
Rackula : L’outil open-source pour concevoir le rack de votre lab forensics
Tout bon spécialiste en sécurité matérielle possède un lab d’analyse réseau ou de désossage électronique qui ressemble souvent à un tas de serveurs et d’outils empilés à la va-vite. Gareth Evans a développé Rackula, un outil open-source intuitif en glisser-déposer pour concevoir et agencer visuellement vos baies serveurs de test. Simple, efficace et très pratique pour planifier son infrastructure d’extraction de données sans se tromper de dimensions.
🛡️ Cybersécurité & Renseignement
Claude Fable 5 : Anthropic publie l’IA offensive qu’elle jugeait « trop dangereuse »
En avril dernier, Anthropic refusait de diffuser « Mythos », un modèle d’IA jugé trop efficace pour repérer et exploiter des vulnérabilités logicielles complexes. Revirement stratégique : ce moteur arrive chez le grand public sous le nom de Claude Fable 5. Les attaquants ont désormais entre les mains un assistant de recherche automatisée d’exploits redoutable. Le monde de l’audit de code et de la sécurité offensive va devoir s’adapter à cette prolifération d’outils automatisés.
Menace IA : Un ver informatique capable de raisonner et de s’adapter tout seul
Des chercheurs de l’Université de Toronto et de ServiceNow ont fait la démonstration d’un ver informatique autonome capable de s’adapter dynamiquement au réseau qu’il infecte. Finis les scripts d’attaque figés ; ce malware utilise un modèle de raisonnement local pour contourner les obstacles de sécurité et pivoter au sein de l’infrastructure cible. Un cauchemar pour la réponse sur incident (DFIR) qui repose encore trop souvent sur la détection de signatures d’attaques connues.
Sécurité & Vie privée : Google condamne définitivement uBlock Origin sur Chrome
C’est la fin d’une époque pour la vie privée sur le web. Google déploie Chrome 150/151 et élimine les derniers mécanismes qui permettaient au manifeste MV2 de fonctionner. uBlock Origin, qui s’appuyait sur la modification à la volée des requêtes HTTP pour bloquer efficacement les traqueurs, cesse de fonctionner. Pour l’OPSEC et la recherche en sources ouvertes (OSINT) où la discrétion et le blocage de scripts espions sont cruciaux, l’utilisation de navigateurs alternatifs non-Chromium devient indispensable.
Souveraineté & Données : Pourquoi Apple refuse de lancer son Siri IA en Europe
Apple a tenté de rejeter la faute sur le règlement européen des marchés numériques (DMA) pour expliquer le blocage de son nouveau Siri doté d’IA en Europe. Mais Bruxelles ne se laisse pas faire et rappelle que c’est une décision unilatérale de Cupertino, qui refuse d’ouvrir son écosystème à la concurrence comme l’exige la loi. Derrière cette guerre de communication se cache un enjeu énorme de contrôle des données personnelles des utilisateurs européens.
SANS Stormcast : Le podcast indispensable pour la veille de sécurité quotidienne
Pour ceux qui veulent garder un œil sur les menaces actives sans y passer des heures, le podcast ISC Stormcast du SANS Institute reste une référence absolue. Court, technique et directement axé sur les faits : vulnérabilités critiques du jour, attaques réseau observées sur leurs pots de miel (honeypots) et conseils de remédiation immédiate. Une écoute obligatoire chaque matin pour tout analyste SOC ou expert en cybersécurité.
Laisser un commentaire