Firmware

📅 Contexte Article publié le 13 avril 2026 sur Tomsguide.fr, basé sur le document technique Microsoft Support KB5062710. Il traite de l’expiration imminente des certificats cryptographiques fondant la chaîne de confiance du Secure Boot Windows, émis en 2011 à l’époque de Windows 8. 🔐 Certificats concernés et calendrier Microsoft a publié un calendrier précis d’expiration : Certificat KEK (Key Enrollment Key) : expiration en juin 2026 Certificat UEFI CA : expiration en juin 2026 Certificat Windows Production PCA : expiration en octobre 2026 Des versions de remplacement millésimées 2023 doivent prendre le relais. ...

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

Selon BleepingComputer, deux vulnérabilités affectent le firmware des matériels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent à des attaquants de mettre à jour les systèmes avec des images malicieusement forgées. Les experts de la société de sécurité des micrologiciels Binarly ont découvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigée en janvier dernier, ainsi qu’une autre vulnérabilité identifiée sous le nom de CVE-2025-6198. De nouvelles vulnérabilités critiques ont été découvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance à distance, même lorsque le serveur est éteint. Selon les chercheurs de Binarly, ces failles, identifiées comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent à un attaquant d’installer un firmware malveillant qui reste actif malgré les redémarrages ou réinstallations du système d’exploitation, ouvrant la voie à des backdoors persistantes. ...

Source : Blog de Flipper Devices — l’article répond aux reportages évoquant un « firmware secret » du Flipper Zero capable de pirater n’importe quelle voiture, sujet repris par The Verge, Gizmodo, 404 Media et The Drive. ⚠️ Le billet explique que des boutiques du darknet ont commencé à vendre un « firmware privé » pour Flipper Zero, présenté comme pouvant « hacker » d’innombrables voitures. Ces vendeurs affirment que de nouvelles vulnérabilités auraient « fuité » en ligne, rendant ce piratage possible. ...

LA newsletter FromCyberia rapporte qu’un réseau de centres de service, géré par des bénévoles, a décidé de suspendre les mises à jour de firmware personnalisées pour les drones DJI après avoir subi une cyberattaque. Ce réseau, dirigé par le groupe Russian Hackers for the Front (RH), est connu pour ses efforts de modification de firmware afin de militariser les drones commerciaux DJI. L’attaque a compromis les serveurs et les terminaux utilisés par RH, obligeant le groupe à demander à des centaines de centres de service d’arrêter l’utilisation de ses terminaux jusqu’à nouvel ordre. Cette décision a pour effet de suspendre une large opération de militarisation des drones commerciaux. ...