🕵️ Digital Forensics & Investigation
Optimiser le Triage pour des investigations plus intelligentes
Richard Frawley d’ADF Solutions remet les pendules à l’heure sur l’importance du triage dans nos labos. On perd trop de temps à faire des images complètes de disques de 2 To pour rien. L’idée ici, c’est d’extraire les preuves volatiles et critiques immédiatement. Dans un monde où le volume de données explose, le triage n’est plus une option, c’est une question de survie opérationnelle pour l’enquêteur.
macOS : Le bug des 49 jours qui tue le réseau TCP
Si vous gérez des parcs de Mac sous Sequoia ou Sonoma, vérifiez l’uptime. Un overflow d’entier 32 bits dans le kernel XNU provoque une panne totale des connexions TCP après 7 semaines sans reboot. On peut toujours pinger (ICMP), mais tout le reste meurt. D’après les remontées partagées par Korben, c’est un reboot obligatoire. Un bug qui rappelle les vieilles heures sombres de Windows 95, c’est assez gênant pour Apple en 2026.
Menaces sur ChatGPT : Quand OpenAI alerte le FBI
Affaire intéressante à Strasbourg : un utilisateur a menacé des agents de la DGSI lors d’un chat avec GPT. OpenAI a balancé les logs au FBI, qui a transmis via Pharos. Ça nous rappelle que la confidentialité des LLM est un mythe total. Pour nous, en Forensics, c’est une mine d’or potentielle si on accède aux tokens de session, mais pour l’utilisateur, c’est un rappel brutal de la surveillance proactive des plateformes.
Zero-Day BlueHammer : Escalade de privilèges sur Windows 11
Gros coup de gueule d’un chercheur qui a lâché un exploit 0-day baptisé BlueHammer. Il permet de passer de simple utilisateur à SYSTEM sur les dernières versions de Windows 11 (25H2). L’exploit a été rendu public par frustration envers Microsoft. C’est typiquement le genre d’outil que nous devons surveiller pour comprendre les mouvements latéraux lors d’une réponse aux incidents.
Pixel Boot Loop : La mise à jour de mars tourne au cauchemar
Le dernier patch de Google rend certains Pixel totalement inutilisables. On parle de boot loops sans fin sans raison apparente. Pour nous, c’est un cauchemar technique : comment extraire des données d’un terminal qui ne finit pas son cycle de démarrage sans risquer un wipe ? On attend de voir si Google propose un fix via fastboot sans effacement des données.
🚗 Automotive & Hardware Security
Android Auto : Une instabilité chronique confirmée
Une enquête récente montre que la majorité des utilisateurs souffrent de déconnexions intempestives avec Android Auto. Ce n’est pas qu’un souci de confort : en Automotive Security, ces instabilités peuvent masquer des vulnérabilités au niveau de la stack de communication USB ou Wi-Fi du head unit. On reste sceptique sur les solutions logicielles miracles proposées par Google jusqu’ici.
wolfIP : Une pile TCP/IP sans allocation dynamique pour l’IoT
wolfSSL vient de sortir wolfIP. Ce qui est génial ici, c’est l’absence totale de ‘malloc’. Pour nous qui faisons du reverse engineering ou de la recherche de vulnérabilités, cela signifie une surface d’attaque réduite sur les débordements de tas (heap). C’est idéal pour des systèmes embarqués critiques et des capteurs IoT où la sécurité mémoire est primordiale.
L’IA débusque des failles critiques dans CUPS (Linux & macOS)
Des agents IA utilisés par un ingénieur de SpaceX ont identifié deux failles d’exécution de code à distance (RCE) dans CUPS, le système d’impression standard. C’est fascinant et effrayant : l’IA commence à surpasser les outils de fuzzing traditionnels pour analyser du code legacy complexe. Si vous avez des serveurs d’impression exposés, c’est le moment de surveiller vos logs.
Un driver Linux pour bloquer les attaques BadUSB
On connaît tous le risque des périphériques HID malveillants. Un nouveau module kernel vient d’être proposé pour détecter ces comportements suspects au niveau du driver. C’est une excellente nouvelle pour renforcer la sécurité physique des endpoints contre les injections de touches (Rubber Ducky style). Je recommande de tester ça dès que ça arrive dans les dépôts mainlines.
NASA Artemis Watch 2.0 : Un terrain de jeu ESP32-S3
Derrière l’aspect gadget éducatif, cette montre basée sur un ESP32-S3 est une perle pour le hardware hacking. On a accès à un IMU 6 axes, du Wi-Fi/Bluetooth et un port USB-C pour le debug. C’est le support parfait pour prototyper des outils de sniffage Wi-Fi discrets ou des injecteurs de payloads.
Samsung Galaxy Glasses : Un nouveau vecteur IoT
Les lunettes connectées de Samsung viennent de passer une certification majeure. Pour nous, c’est un nouveau type d’équipement à intégrer dans nos procédures d’extraction. Quelles données sont stockées localement ? Quel est le niveau de chiffrement des flux vers le smartphone ? On se prépare déjà à devoir dumper le firmware dès la sortie.
Hack d’empreinte Samsung : Plus qu’un simple déverrouillage
Une astuce sur les téléphones Samsung permet d’utiliser le capteur d’empreintes pour lancer des applications spécifiques directement. D’un point de vue Forensics, cela signifie que le capteur d’empreintes peut servir d’élément déclencheur pour des apps sécurisées ou des conteneurs cachés. Un point à vérifier lors de l’examen de l’UX d’un suspect.
Obsolescence T-Mobile : Risques sur les anciens terminaux
T-Mobile pousse une mise à jour réseau qui pourrait empêcher certains vieux appareils de fonctionner correctement. En investigation mobile, c’est critique : si un appareil de saisie perd sa connectivité réseau avant qu’on puisse effectuer une acquisition logique ou cloud, on est bloqué. Il faut absolument mettre ces terminaux en cage de Faraday et privilégier l’acquisition physique immédiate.
Hardware Hacking : Des DVD sur Dreamcast via Raspberry Pi
Le projet de ThroatyMumbo est une démonstration de force : émuler un lecteur DVD sur une console via un Raspberry Pi et le port manette. C’est un cas d’école de détournement de bus de communication propriétaire. Pour nous, ça confirme une fois de plus qu’aucun port n’est jamais vraiment « fermé » si on a le bon microcontrôleur entre les mains.
ISC Stormcast : Le point cyber du 7 avril
Le podcast du SANS Institute revient sur les dernières menaces actives. Toujours indispensable pour avoir une vision globale des campagnes de phishing et des vulnérabilités exploitées dans la nature. C’est la base de notre threat intelligence quotidienne.
Laisser un commentaire