| schema:text
| - Le Flipper Zero est présenté sur les réseaux sociaux comme un outil magique permettant de contrôler plusieurs appareils électroniques.Copier une carte bancaire, accéder à une chambre d'hôtel, changer des feux tricolores... certaines vidéos de ses "exploits" ont été vues plusieurs millions de fois.Des experts en cybersécurité et en piratage expliquent à TF1info que certaines sont très exagérées, voire manipulatoires.
Il est présenté sur les réseaux sociaux comme le "tamagotchi des hackers", en référence à cet animal de compagnie virtuel en vogue dans les années 1990. Depuis quelques jours, les vidéos d’un petit appareil électronique, le Flipper Zero, essaiment sur les réseaux sociaux auprès du grand public.
L'objet est pourtant loin d’être nouveau, ni un inconnu pour les passionnés de programmation : il a été développé en 2020 par la société "Flipper Devices" grâce à un financement participatif qui a récolté plus de 4,8 millions de dollars. La société regroupe des passionés de cybersécurité qui se sont rencontrés au Neuron Hackspace, un espace communautaire de hackers à Moscou, en Russie. Sur leur site, le Flipper Zero est présenté comme un "couteau suisse pour explorer les systèmes de contrôle d'accès".
À en croire des contenus partagés sur plusieurs plateformes, comme cette série de vidéos sur X (nouvelle fenêtre) atteignant les 3 millions de vues, l'outil permettrait de réaliser toutes sortes de piratages et d’actions plus fascinantes les unes que les autres. Dans un clip, il est utilisé pour lire des informations sur une carte de crédit. Dans un autre, des caméras de surveillance sont éteintes grâce à l’appareil. Plus impressionnant encore, des utilisateurs se sont filmés en l’utilisant comme une télécommande pour changer des feux de signalisation du rouge au vert.
"De vidéos mensongères qui déçoivent les utilisateurs"
Adrian Kingsley Hugues (nouvelle fenêtre), journaliste américain pour le média ZDnet, a fait l’acquisition depuis plusieurs mois d’un Flipper Zero dont il teste régulièrement les fonctionnalités. Selon lui, ces vidéos "sont faites pour surfer sur la popularité naissante de l’appareil, attirer l'attention et ainsi gagner de l'argent en monétisant les contenus". Il nous dit entendre "chaque semaine" des acheteurs "frustrés et déçus parce que leur Flipper Zero ne fait pas les choses qu'il semble pouvoir faire", lire toutes les données des cartes bancaires par exemple. Test à l’appui, le spécialiste a pu prouver (nouvelle fenêtre) que si l’appareil détectait bien la carte, il ne pouvait pas décoder son code de sécurité crypté. Il est en revanche théoriquement possible, en s'en approchant au plus près, de copier les données pouvant servir au paiement sans contact sur certains terminaux peu sécurisés selon d'être experts consultés.
Dans d'autres cas, l'action est théoriquement possible, mais la séquence qui essaie de le démontrer induit en erreur. Par exemple, l'une d'elles (nouvelle fenêtre) montrant que l’outil permettrait de "débloquer par la force" le code d’un téléphone portable en "exploitant une faille du Bluetooth" et en trouvant le code de sécurité. "Dans la vidéo, on voit un câble, donc ça n’a rien à voir avec le Bluetooth", explique Adrian Kingsley Hugues. "La plupart des appareils modernes sont d’ailleurs immunisés contre ce type de déblocage, car ils peuvent être configurés pour n'autoriser que dix tentatives de mot de passe."
Enfin, c’est parfois carrément une tromperie qui est observée, comme dans une vidéo (nouvelle fenêtre) où un utilisateur semble jouer gratuitement à un flippeur. Le programme utilisé a simplement permis de copier une carte bancaire - ou une carte prépayée de l'espace de jeux - et de payer grâce au sans contact. Rien de gratuit, donc.
Un outil qui révèle des failles de sécurité... mais qui ne peut pas tout faire
Pour autant, le Flipper Zero présente des possibilités qui inquiètent : au Canada, le gouvernement avait envisagé d’interdire son importation, ainsi que tout objet similaire, l’accusant d’être à l’origine de vols de véhicules. Une mesure contre-productive et exagérée selon plusieurs experts (nouvelle fenêtre), la plupart des véhicules modernes incluant des codes roulants pour être déverrouillés. Le projet d’interdiction a finalement été abandonné (nouvelle fenêtre), bien que le ministère ait indiqué travailler sur une loi pour règlementer "une utilisation abusive".
Les failles de sécurité sont cependant parfois bien réelles : en mars 2024, des chercheurs de l’entreprise Mysk Inc en avaient identifié une dans des véhicules Tesla (nouvelle fenêtre) permettant, au moyen d’un Flipper Zero et d’une carte de développement wifi, de dérober les informations d’identification d’un propriétaire et de créer des clés virtuelles pour la voiture. Cette faille avait été identifiée et corrigée par le constructeur.
L'outil a connu un regain de popularité depuis septembre 2024 suite à une mise à jour (nouvelle fenêtre), qui a notamment intégré la prise en charge de fréquences radio de talkie-walkies analogiques. Ou encore d'améliorer les fonctionnalités de télécommandes universelles permettant de contrôler un nombre croissant d'appareils électroniques, comme les téléviseurs, les climatiseurs ou les projecteurs.
Des fonctionnalités étendues donc, mais qui ne permettent pas tout et n’importe quoi. Difficile de savoir avec certitude si certaines vidéos sont authentiques sans en connaître certains éléments techniques. Dans le cas de séquences montrant les feux de signalisation passer du vert au rouge, les conducteurs semblent adapter leur vitesse pour arriver au moment où le feu devient vert, et donner l’illusion qu’ils sont à l’origine de cette modification. On peut s’en rendre compte car aucun véhicule ne traverse de l’autre côté de la route, indiquant que l’action est bien coordonnée.
"Ça crée une paranoïa inutile"
Pour autant, sur le papier, rien d'étonnant pour la communauté des hackers français dont fait partie Jean-Marc Bourguignon, fondateur du collectif Nothing2Hide (nouvelle fenêtre) : "Changer des feux tricolores n’est pas du tout impossible, d’autres hackers l’ont fait il y a bien longtemps. Mais ici, on a affaire à des personnes qui téléchargent des programmes développés en ligne qu’ils ne maitrisent pas."
"C’est un bon outil dont je ne me sers pas à titre personnel, mais qui peut permettre de déceler des failles de sécurité", abonde Centho, expert en cybersécurité qui lutte contre la désinformation informatique sur les réseaux sociaux. "Cependant, cet outil n’a rien de nouveau en soi, car la plupart des actions qu’on lui attribue étaient déjà possibles depuis bien longtemps avec d’autres. La différence, c’est que cela est peut-être plus accessible à qui sait chercher ces programmes, et les utiliser à des fins malveillantes."
Sur le papier donc, le Flipper Zero peut bien servir à des piratages problématiques sur les moyens de communication sans fil... mais jusqu'à un certain point. "C’est facile de prétendre faire des choses incroyables dans une vidéo lorsque toutes les conditions ont été organisées pour que ça fonctionne", explique Jean-Marc Bourguignon. "Mais dans la réalité, c’est différent. Tout ça ne sert qu’à faire des vues sur YouTube."
Dernier élément avancé par les experts : le Flipper Zero est actuellement très peu répandu en France, utilisé principalement par des passionnés. "Ces vidéos, ça me dérange", reprend Centho. "L’objet est présenté comme un outil de piratage dangereux, alors qu’à la base, c’est un outil qui peut servir à faire beaucoup de choses positives", souligne-t-il, regrettant "une mauvaise image renvoyée sur le monde du hacking et une paranoïa inutile."
Vous souhaitez nous poser des questions ou nous soumettre une information qui ne vous paraît pas fiable ? N'hésitez pas à nous écrire à l'adresse lesverificateurs@tf1.fr. Retrouvez-nous également sur X : notre équipe y est présente derrière le compte @verif_TF1LCI.
|
![[RDF Data]](/fct/images/sw-rdf-blue.png)
![[cxml]](/fct/images/cxml_doc.png)
![[csv]](/fct/images/csv_doc.png)
![[text]](/fct/images/ntriples_doc.png)
![[turtle]](/fct/images/n3turtle_doc.png)
![[ld+json]](/fct/images/jsonld_doc.png)
![[rdf+json]](/fct/images/json_doc.png)
![[rdf+xml]](/fct/images/xml_doc.png)
![[atom+xml]](/fct/images/atom_doc.png)
![[html]](/fct/images/html_doc.png)