Le Flipper Zero, le Tamagoshi des hackers, peut-il réellement dupliquer nos cartes bancaires ?
Celui que l’on surnomme « le Tamagoshi des hackers » inquiète. Qu’est-ce donc que ce Flipper Zero, ce petit objet qui, bardé de lecteurs de puces (RFID, NFC), équipé de capteurs (signaux radio, infrarouges), serait devenu le gadget favori des hackers ? A en croire les rumeurs, l’appareil, vendu 200 euros sur Internet pourrait permettre à monsieur Tout-le-Monde de dupliquer des pass d’accès, d’ouvrir des portes, de vider nos comptes bancaires… 20 Minutes, qui vous avait présenté l’appareil, a voulu en avoir le cœur net et a interrogé Rémi Fleurance, un des possesseurs du Flipper Zero, qui, non content d’être bidouilleur, est aussi (et surtout) ingénieur en cybersécurité.
Avez-vous été surpris de découvrir le Flipper Zero ?
Je ne m’attendais pas à ce qu’un appareil réunissant autant de fonctions soit créé et puisse être vendu massivement. Je savais que c’était possible de bricoler avec des appareils sans fil, mais le Flipper Zéro a rendu cela vraiment possible. Jusqu’alors, ce type d’équipement restait un peu un fantasme de bidouilleur. Avant, pour obtenir de tels résultats, il fallait plus de matériel, plus de la place.
Je l’ai évidemment acheté et je l’utilise réellement au quotidien. Grâce à lui, j’ai arrêté d’avoir un badge pour mon immeuble, un autre pour mon parc à vélo… Le Flipper Zéro est devenu mon petit gadget dans mon sac à dos.
Est-ce un appareil pour geeks ?
Pas forcément. Avec lui, existent des usages accessibles à tous. Le meilleur exemple est la réplication d’un signal sans fil. Cela consiste à prendre une télécommande de télévision, par exemple, aller dans le menu du Flipper, activer « Écouter le signal », puis « Enregistrer », et transformer le Flipper en télécommande de substitution.
Pendant un moment, il pouvait planter les smartphones en se faisant passer pour des écouteurs Bluetooth. C’était purement démonstratif, pour montrer que les appareils sans fil ne sont pas toujours aussi protégés qu’on le dit.
Il est aussi possible, comme vu dans des vidéos, d’allumer et d’éteindre une clim’ dans un restaurant, ou d’y faire sonner les biper que l’on remet parfois aux clients pour les avertir que leur repas est prêt… Dans 99 % des cas, les gens peuvent donc « jouer » avec des appareils qui les entourent.
Ensuite, le fantasme a ses limites. Pour copier un badge d’ascenseur, par exemple, il est nécessaire d’acheter du matériel en plus. Pour copier un badge d’immeuble ou de chambre d’hôtel c’est pareil. D’ailleurs, seules d’anciennes cartes de portes sont compatibles. Il y a donc beaucoup de freins. Le Flipper Zero n’est pas un pass universel qui fonctionne avec n’importe quoi.
On ne peut donc pas copier le badge de la chambre d’hôtel à côté de la sienne, lorsque qu’entre ou sort un client, pour s’y introduire en douce ?
Non. Le vrai scénario serait dans ce cas précis 1/d’avoir préalablement eu accès à la chambre ; 2/d’avoir réussi à faire une copie du badge ; 3/de revenir plus tard. Sans compter que cela ne fonctionnera peut-être que dans un hôtel sur deux. L’intrusion sera sans doute encore plus difficile dans une entreprise. Les systèmes ont beaucoup évolué, les protocoles d’accès également. Et prétendre pénétrer dans une société à l’aide du Flipper Zéro est sans doute allé un peu vite en besogne…
Faut-il néanmoins nous inquiéter pour nos clés de voiture ?
À condition de réussir à capter et enregistrer le signal d’une clé avec le Flipper en se trouvant à quelques centimètres, oui… mais pour un véhicule datant des années 1990-2000 ! Si je voulais déverrouiller une Peugeot ou une Renault modernes, ça ne fonctionnerait pas. Personnellement j’utilise mon Flipper Zéro pour faire démarrer ma moto, mais il s’agit d’une petite marque hongkongaise, pas chère, qui est mal sécurisée.
Et il y a le fantasme des cartes bancaires que l’on peut dupliquer à distance grâce au Flipper Zero…
Les cartes bancaires utilisent la norme « EMV » (pour Europay Mastercard Visa). Ce système permet de lire sans fil les infos contenues par la carte. Ce n’est donc pas le Flipper qui exploite des failles, mais les cartes qui sont dessinées de telle sorte, notamment pour permettre le paiement sans contact.
Alors oui, à condition de se trouver à quelques centimètres d’une carte de paiement, le Flipper Zero peut en récupérer le numéro, la date d’expiration, parfois le nom de son propriétaire, mais jamais le cryptogramme visuel. Ce n’est pas comme ça que l’on va pouvoir se faire vider son compte bancaire !
La seule « attaque » possible consisterait ainsi à utiliser les données volées sur des sites de vente peu scrupuleux qui ne réclament pas de cryptogramme. Voire d’effectuer quelques paiements sans contact jusqu’à 50 euros, sachant cependant que le propriétaire se rendrait vite compte de la supercherie et qu’il serait indemnisé en conséquence. Alors oui, il se dit que l’on peut protéger sa carte bancaire avec une pochette de protection spécifique. Mais la réalité d’une duplication de carte de paiement par le Flipper Zero est que cela n’ira pas au-delà de quelques paiements…
200 euros pour s’offrir le Flipper Zero, c’est cher ?
Ce n’est pas donné, mais ce n’est pas si cher que cela. Car réaliser les opérations dont il est capable sans lui serait possible, mais plus compliqué, et plus cher. Je constate d’ailleurs que certains acheteurs sont aussi déçus par le produit et qu’ils s’en débarrassent en le vendant d’occasion. Il en existe déjà des clones sur Ali Express, mais le Flipper Zero reste cependant le standard. Je n’irai pas en acheter une copie.
Après le Flipper Zero, peut-on attendre un Flipper 1.0, plus « efficace » pour les hackers dans certains domaines ?
Je ne suis pas sûr que ses créateurs aillent sur ce terrain, ni aient besoin de faire cela. Dans l’état, le Flipper est maintenu à jour régulièrement.
Avez-vous personnellement réalisé avec le Flipper des actions qui sortaient de son champ d’action initial ?
Je n’ai pas fait grand-chose hors des clous… J’ai pu dépanner une connaissance qui avait perdu ses clés de moto ! J’ai donc utilisé mon Flipper pour remplacer sa clé. Mais attention, cela a demandé des semaines de codage pour comprendre comment fonctionnait la moto ! Alors effectivement, on peut voler une moto avec le Flipper Zero. Mais les personnes qui veulent s’adonner à ce genre de forfait n’ont pas besoin du Flipper pour cela, il y a beaucoup plus simple !