Cybersécurité – Le flipper zéro
04 avril 2024Récemment, un sommet national sur le vol de voiture a réuni des membres de la communauté politique fédérale et municipale, des assureurs, les forces de l’ordre et les manufacturiers automobiles pour faire le point sur l’état de la situation et les manières de prévenir le vol de voiture. Dans cette chronique, je voudrais revenir sur un des éléments de solution proposés, celui de bannir l’utilisation de l’appareil bien spécifique : le Flipper Zero.
Tout d’abord, une petite présentation : le Flipper Zero est un appareil qui peut interagir avec les protocoles Bluetooth, WI-FI, RFID, NFC ainsi que les ondes radio et infrarouges qui s’apparentant à un Tamagochi avec un aspect ludique parce que l’utilisateur peut interagir avec le gentil dauphin Flipper. Le projet est né à la suite d’une campagne de levée de fond et est open source et open hardware donc les plans pour le construire ainsi que le code informatique sont disponible sur Internet. Une personne peut développer et modifier chaque partie et fonctionnalité du Flipper Zero à sa guise. Il peut être utilisé comme télécommande de télévision, pour changer les diapositives lors d’une présentation, ouvrir une porte de garage, lire une carte d’accès et comme de clé de voiture. L’éventail des possibilités est vraiment large, mais évidemment, les deux dernières ne font pas l’affaire de tout le monde.
La fonctionnalité de lecteur de carte d’accès permet de cloner les informations sur une carte d’hôtel ou même une carte bancaires tandis que celle qui permet d’émuler une clé de voiture est évidemment utilisée par les malfaiteurs pour copier les clés électroniques des voitures pour les voler. Dans un autre ordre d’idée, c’est utilisé par des gens de la communauté de la recherche en cybersécurité pour démontrer des preuves de concept de vulnérabilités.
De premier abord, il peut paraître sensé de bannir ce type d’appareil – parce que Flipper Zero n’est pas le seul, il y a d’autres modèles sur le marché. Toutefois, c’est plutôt une action cosmétique et une vision de courte vue pour différentes raisons.
Premièrement, un bannissement va seulement réellement affecter les gens qui respectent les lois et qui veulent opérer dans un cadre légal c.-à-d. une chercheuse en cybersécurité, un membre d’une équipe de sécurité offensive, etc. Cela n’aiderait pas les gens qui cherchent et découvrent des vulnérabilités dans un cadre éthique. C’est des personnes qui ont un mandat important et ça ne faciliterait pas leurs tâches. Il est plutôt amusant de penser qu’une organisation criminelle cesserait d’utiliser cet appareil afin de voler des voitures car celui-ci est banni.
Deuxièmement, le projet est totalement ouvert à la communauté mondiale, les plans et le code sont facilement accessibles sur Internet. Une organisation criminelle qui doit vraiment avoir cet appareil spécifique pour prospérer dans le segment des vols de voitures va probablement dépenser les dollars nécessaires à la fabrication et à la programmation de l’outil.
Troisièmement, il faudrait aussi retourner le miroir vers les constructeurs automobiles. Depuis plusieurs années, les voitures sont des ordinateurs sur roues mais la sécurisation de cet ordinateur n’est pas une priorité. L’utilisation de protocole qui n’ont aucun processus d’authentification, des mauvaises implémentations de programmes informatiques, des méthodes pour contourner les systèmes de sécurité sont également des éléments qui aident les vols de voiture. Des véhicules qui valent des dizaines de milliers de dollars ne sont pas équipés d’élément de sécurité élémentaire et les vulnérabilités sont nombreuses.
Quatrièmement, le problème est lié à un manque de réglementation dans le domaine de l’automobile. Par exemple, la fonction publique fédérale a une agence qui effectue des tests de collisions afin d’assurer que les véhicules sont sécuritaires. Il y a une réglementation par rapport à ça et les manufacturiers construisent leurs modèles en fonction de ces règles-là. Il n’y aucun test sur la sécurité informatique des véhicules et aucune réglementation donc il ne faut pas se surprendre que le niveau de sécurité est plutôt bas, il n’y a pas d’incitatif pour s’améliorer. C’est parce qu’il y a des règlements et de lois que les véhicules ont des ceintures de sécurité, des ancrages de siège pour bébé, des coussins gonflables.
En conclusion, pour les raisons énumérées, un bannissement aurait un impact négligeable sur le problème des vols de voiture et serait un véritable coup d’épée dans l’eau. Mais ça donnerait l’impression que quelque chose se fait.
Par Simon Benoît
Consultant en cybersécurité