Publications

Site Unseen : Énumérer et attaquer les sites Active Directory

05/11/2025 Les sites Active Directory représentent une fonctionnalité permettant d’optimiser la performance réseau et l’usage de bande passante dans les environnements internes. Ils sont fréquemment implémentés par des organisations de taille importante, géographiquement dispersées et présentes au sein de plusieurs pays ou continents. Les sites n’ont jusqu’ici pas reçu beaucoup d’attention de la part de la communauté de recherche offensive Active Directory, comparativement à d’autres vecteurs d’attaque basés sur les ACLs. Cet article vise à dém...

Construire un binaire Rust "Two-Face" pour Linux

28/10/2025 Dans cet article nous aborderons une technique pour créer facilement un binaire Rust "Two-Face" pour Linux : c'est à dire un exécutable qui lance un programme inoffensif dans la plupart des cas, mais lance un programme caché différent s'il est déployé sur un hôte particulier. Cette approche qui permet de lier un binaire à son environnement peut être utile pour une charge utile de malware ciblé ou plus communément dans un mécanisme de protection des licences.  Nous détaillerons aussi comment rendre cet exécutable "caché" plus difficil...

Paint it blue: Attacking the bluetooth stack

27/10/2025 Le Bluetooth a toujours été une cible attrayante pour les attaquants, car il est présent presque partout (téléviseurs, chargeurs de voiture, réfrigérateurs connectés, etc.). C'est particulièrement vrai sur les appareils mobiles, où il s'exécute en tant que processus privilégié avec un accès potentiel au microphone, au carnet d'adresses, etc.  En septembre et octobre 2023, Android a publié des bulletins de sécurité concernant des vulnérabilités critiques dans sa pile Bluetooth (Fluoride), pouvant conduire à l'exécution de code à dista...

Transition post-quantique : L’hybridation des échanges de clés

16/10/2025 Suite à notre article précédent sur l’hybridation des signatures, cet article aborde les bases de l’hybridation des échanges de clés.

LinkPro : analyse d'un rootkit eBPF

14/10/2025 Lors d'une investigation numérique liée à la compromission d'une infrastructure hébergée sur AWS, une backdoor furtive ciblant les systèmes GNU/Linux a été découverte. Cette backdoor dispose notamment de fonctionnalités reposant sur l'installation de deux modules eBPF, d'une part pour se dissimuler, d'autre part pour être activée à distance sur réception d'un « paquet magique ». Cet article détaille les capacités de ce rootkit et présente la chaîne d'infection observée dans ce cas qui a permis son installation sur plusieurs nœuds d'un...

LLM Poisoning [1/3] - Lire les pensées d'un Transformer

08/10/2025 Votre LLM local peut vous hacker. Cette série en trois volets révèle comment de minuscules modifications de poids peuvent implanter des portes dérobées furtives restant dormantes au quotidien, puis se déclenchant sur des entrées spécifiques, transformant un modèle "sûr" et même hors-ligne en attaquant. Cet article montre comment les transformers encodent les concepts dans leurs activations internes et comment les détecter.

Que pourrait-il arriver de dangereux lorsque le mode SQL strict de MySQL est désactivé ?

02/10/2025 Cet article montre quelques exemples d'attaques qui peuvent abuser du comportement de MySQL lorsque le mode SQL strict est désactivé, en particulier lorsque les caractères de la chaîne sont invalides dans l'encodage actuel. Cela arrive quand l'encodage de l'application (ex : UTF-8) est plus large que celui de la base de données (ex : ASCII).

Transition post-quantique : L’hybridation des signatures

29/09/2025 À la lumière des nouvelles exigences légales promulguées dans de nombreux pays pour que les éditeurs de logiciels prennent en compte la menace quantique, Synacktiv a entamé une montée en compétence sur le sujet. Après avoir étudié ce qui fait qu’un algorithme est (ou non) « post-quantique » dans les articles précédents, nous allons maintenant disséquer le concept d’hybridation, un mécanisme essentiel pour une transition en toute sécurité. Ce premier article se concentre sur l’hybridation des schémas de signature, tandis qu’un second a...

appledb_rs, un outil d'aide à la recherche sur plateformes Apple

25/09/2025 Au fil des années, la recherche sur les plateformes Apple s’est considérablement complexifiée, en grande partie à cause des nombreuses contre-mesures déployées au fil du temps par la marque à la pomme. Pour répondre à ce défi durant nos missions sur ces plateformes, nous avons développé appledb_rs: un outil open‑source (https://github.com/synacktiv/appledb_rs) qui extrait les données des fichiers IPSW (archive contenant le firmware Apple) et les organise de manière structurée, facilitant ainsi leur exploration et leur analyse.

L’Extension fantôme : Infiltrer Chrome par des voies inexplorées

23/09/2025 Le renforcement progressif de la sécurité des éléments clés de Windows, comme LSASS, a poussé les attaquants à chercher d’autres vecteurs d’intrusion. Parmi eux, les navigateurs web sont devenus des cibles privilégiées, car ils représentent désormais la principale porte d’entrée aux données sensibles et aux services cloud des entreprises. De nombreux secrets, tels que les tokens et identifiants, transitent via les navigateurs, et leur compromission peut offrir aux attaquants un accès étendu à l’organisation. Cet article présente une t...