© Philip Cheung for The New York Times
Alors que l'OM affronte le PSG ce jeudi (19 heures) dans le cadre du Trophée des champions au Koweït, Roberto De Zerbi laisse planer le doute en attaque. Amine Gouiri et Pierre-Emerick Aubameyang se disputent la place de titulaire.
Microsoft n'allait pas démarrer l'année 2026 sans une nouvelle fournée de jeux à destination de son Xbox Game Pass. Quoi de beau au menu de janvier ?
Roberto De Zerbi, l'entraîneur de Marseille, est revenu sur la défaite contre Nantes (0-2) de dimanche en Ligue 1, pour mieux évoquer les ingrédients indispensables à mettre à l'occasion du Trophée des champions, ce jeudi soir contre le PSG à Koweït City (19 heures en France).
Microsoft n'allait pas démarrer l'année 2026 sans une nouvelle fournée de jeux à destination de son Xbox Game Pass. Quoi de beau au menu de janvier ?
La marque chinoise Dreame a dévoilé au CES de Las Vegas ses premières voitures électriques. Près de 2 000 ch, un 0 à 100 km/h en même pas 2 secondes, du pur délire.
Abonnez-vous à Frandroid sur Google pour ne manquer aucun article !
Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l'une des failles utilisées se trouve dans... le port de Doom intégré à la box !
Pour la petite histoire, la Freebox HD c'est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu'à fin 2025. Du coup, Frédéric s'est dit que ça ferait un super terrain de jeu pour du reverse engineering à l'ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.
La première vulnérabilité se planque dans PrBoom, le célèbre port open source de Doom qui tourne sur la Freebox. Vous savez, le jeu qu'on peut lancer depuis le menu de la box. Bref, une faille dans un jeu vieux de 30 ans qui permet une première étape d'exploitation. La deuxième, c'est du lourd puisqu'il s'agit d'un 0-day dans le noyau Linux de la box qui permet une sandbox escape complète. Ça me rappelle le hack de la PS3 par Fail0verflow présenté au CCC il y a quelques années, où les hackers avaient réussi à extraire les clés privées de la console.
Et Frédéric a fait les choses bien : inspection physique du hardware, désassemblage complet, analyse de la surface d'attaque, et hop, deux 0-days tombés du ciel. Pour ceux qui se demandent si Free a subi un piratage, techniquement oui, mais pas de vos données. C'est la box elle-même qui peut être compromise, pas votre compte Free. D'ailleurs, si vous vous souvenez de la faille CSRF dans la Freebox v6 dont j'avais parlé, on reste dans la même lignée... Visiblement, les box françaises ont encore quelques secrets à livrer.
Quoiqu'il en soit, c'est un coup dur pour Free qui va devoir se pencher sur ces vulnérabilités. Bon après, la Freebox HD arrive en fin de vie, donc on verra si un patch est vraiment poussé d'ici la fin de l'année.
Hâte de voir si d'autres chercheurs vont maintenant s'attaquer aux Freebox plus récentes avec cette méthodologie. En attendant, si vous avez encore une Freebox HD qui traîne, vous savez ce qu'il vous reste à faire… ou pas. Car comment sécuriser sa Freebox face à ce genre d'attaque ? Honnêtement, tant que Free n'a pas patché, la meilleure défense c'est de… ne pas laisser un hacker jouer à Doom sur votre décodeur !
Un grand merci à G1doot pour m'avoir signalé ce talk !
Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l'une des failles utilisées se trouve dans... le port de Doom intégré à la box !
Pour la petite histoire, la Freebox HD c'est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu'à fin 2025. Du coup, Frédéric s'est dit que ça ferait un super terrain de jeu pour du reverse engineering à l'ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.
La première vulnérabilité se planque dans PrBoom, le célèbre port open source de Doom qui tourne sur la Freebox. Vous savez, le jeu qu'on peut lancer depuis le menu de la box. Bref, une faille dans un jeu vieux de 30 ans qui permet une première étape d'exploitation. La deuxième, c'est du lourd puisqu'il s'agit d'un 0-day dans le noyau Linux de la box qui permet une sandbox escape complète. Ça me rappelle le hack de la PS3 par Fail0verflow présenté au CCC il y a quelques années, où les hackers avaient réussi à extraire les clés privées de la console.
Et Frédéric a fait les choses bien : inspection physique du hardware, désassemblage complet, analyse de la surface d'attaque, et hop, deux 0-days tombés du ciel. Pour ceux qui se demandent si Free a subi un piratage, techniquement oui, mais pas de vos données. C'est la box elle-même qui peut être compromise, pas votre compte Free. D'ailleurs, si vous vous souvenez de la faille CSRF dans la Freebox v6 dont j'avais parlé, on reste dans la même lignée... Visiblement, les box françaises ont encore quelques secrets à livrer.
Quoiqu'il en soit, c'est un coup dur pour Free qui va devoir se pencher sur ces vulnérabilités. Bon après, la Freebox HD arrive en fin de vie, donc on verra si un patch est vraiment poussé d'ici la fin de l'année.
Hâte de voir si d'autres chercheurs vont maintenant s'attaquer aux Freebox plus récentes avec cette méthodologie. En attendant, si vous avez encore une Freebox HD qui traîne, vous savez ce qu'il vous reste à faire… ou pas. Car comment sécuriser sa Freebox face à ce genre d'attaque ? Honnêtement, tant que Free n'a pas patché, la meilleure défense c'est de… ne pas laisser un hacker jouer à Doom sur votre décodeur !
Un grand merci à G1doot pour m'avoir signalé ce talk !
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
La Xiaomi SU7 profite d’une mise à jour discrète en apparence, mais bien plus significative sur le fond. Autonomie, conduite assistée, sécurité et performances progressent, confirmant que Xiaomi compte encore sur les ventes de sa berline électrique.
Ce n’est pas la première fois que Tesla rencontre des problèmes pour le nom de ses modèles. La situation actuelle pour le Cybercab a néanmoins de quoi surprendre, tant il s’agit d’une erreur de débutant.
Connexion