🕵️ Digital Forensics & Mobile Investigations
La Partie 2 de cette série se concentre sur l’étape critique de l’extraction des preuves chiffrées. Elle montre comment combiner les outils d’Oxygen Forensics pour construire des dictionnaires de mots de passe personnalisés directement à partir des éléments de preuve du dossier, une technique indispensable pour les spécialistes de l’EFS (Encrypted File System) et de l’extraction NAND/eMMC, que nous pratiquons avec Easy JTAG Plus et Medusa Pro.
Ce livre blanc est crucial pour le DFIR. Il expose comment les dispositifs de suivi grand public (type AirTag, Tile) sont détournés par des réseaux criminels (contrebande) et détaille les techniques d’investigation spécifiques pour identifier et remonter à la source de ces balises Bluetooth cachées, un point de contact de plus en plus fréquent en OSINT et dans la traçabilité des biens.
Changement majeur aux États-Unis. La suppression de l’ancienne règle des 60 jours pour le déverrouillage des appareils Verizon pourrait compliquer ou prolonger les procédures d’acquisition légale de données mobiles. Cela nécessite des mandats spécifiques ou l’utilisation accrue d’outils d’extraction avancés (Easy JTAG, T48/T56) sur des téléphones qui resteront désormais verrouillés par l’opérateur pour une durée indéterminée.
Avec son CPU octa-core et un NPU de 6 TOPS, ce nouveau System on Module (SoM) industriel est une cible d’analyse matérielle de choix. Les DFIR hardware hackers noteront la présence d’options de stockage variées (eMMC 5.1, UFS 2.0) et des interfaces I/O riches (MIPI CSI), le rendant pertinent pour l’exploitation de failles JTAG/UART avant l’acquisition mémoire avec des outils comme Rusolut.
🚗 Automotive Forensics & ECU Hacking
Ce fil de discussion est essentiel pour le Vehicle Forensics. Il explore pourquoi un fichier ROM extrait (23710-CF43D) ne s’ouvre pas dans RomRaider. La cause la plus probable — et la plus critique pour une enquête — est que le véhicule a été reprogrammé (tuné) avec un outil tiers comme Uprev, masquant la définition originale et nécessitant une analyse Berla ou une extraction d’images mémoire brutes pour déterminer les modifications apportées aux cartographies.
Un cas classique de difficulté de Reverse Engineering automobile. L’impossibilité de patcher un ROM ECU spécifique (A2TB100V) avec les outils standards (Merpmod) souligne la nécessité d’une expertise en analyse hexadécimale et d’outils d’imagerie mémoire pour identifier manuellement les tables de calibration, une démarche fréquente lorsque les outils grand public échouent à lire un dump d’ECU exotique ou JDM.
Ce post concis met en lumière l’importance d’un outil web HTML offline pour le calcul du CRC (Cyclic Redundancy Check) des fichiers ECU. Le CRC est souvent utilisé par les constructeurs (comme Nissan) pour valider l’intégrité du firmware. Savoir contourner ou recalculer le CRC est fondamental lors de l’injection de code malveillant ou de l’analyse des modifications de cartographie non-officielles (tuning).
L’accès aux fichiers bruts de l’ECU (Dump) est la première étape du DFIR automobile. La recherche de ce fichier spécifique (237101NF2B) pour un Nissan Skyline V36 JDM met en lumière la difficulté d’obtenir des définitions complètes pour les véhicules importés, un point de friction constant pour l’analyse des systèmes de données embarquées (EDR/ECU) qui pourrait nécessiter une extraction Chip-Off.
Les outils comme l’Openport 2.0 (Tactrix) sont des piliers du tuning et du Vehicle Hacking. Un dysfonctionnement ou une rumeur de fermeture de leur site affecte directement la chaîne d’approvisionnement des outils de lecture/écriture de l’ECU. Heureusement, le site est rétabli, assurant la continuité pour le flashage et la journalisation des données automobiles essentielles à l’analyse forensique.
Laisser un commentaire