À travers les États-Unis, d’innombrables bâtiments, des bureaux du gouvernement à la prochaine porte de votre chambre d’hôtel, sont protégés par des serrures contrôlées par RFID. Lors d’un récent voyage à mon bureau, j’ai croisé près de 20 de ces systèmes d’entrée sans clé, qui sont parmi les plus répandus au monde. Mais un gadget ludique de la taille d’une paume avec une interface de type Tamagotchi peut probablement contrecarrer les serrures de bon nombre de ces portes.
L’appareil à 200 $ s’appelle Flipper Zero, et c’est un outil de test de stylo portable conçu pour les pirates de tous niveaux d’expertise technique. L’outil est plus petit qu’un téléphone, facilement dissimulable et est doté d’une gamme de radios et de capteurs qui vous permettent d’intercepter et de rejouer les signaux des systèmes d’entrée sans clé, des capteurs Internet des objets, des portes de garage, des cartes NFC et de pratiquement tout autre appareil. qui communique sans fil à courte portée. Par exemple, en quelques secondes, j’ai utilisé le Flipper Zero pour cloner de manière transparente le signal d’un badge RFID de bureau caché en toute sécurité dans mon portefeuille.
Si vous n’aviez entendu parler de Flipper Zero que via TikTok, où l’outil est devenu viral, vous pourriez penser qu’il s’agissait d’un jouet qui pourrait faire cracher de l’argent par les distributeurs automatiques de billets, les voitures se déverrouiller et le gaz sortir des pompes gratuitement. J’ai passé la semaine dernière à en tester un pour déterminer si le monde était aussi vulnérable à Flipper Zero que les médias sociaux le prétendaient. Ce que j’ai trouvé était mitigé: la plupart des vidéos les plus dramatiques publiées sur TikTok sont probablement mises en scène – la plupart des appareils sans fil modernes ne sont pas sensibles aux attaques de relecture simples – mais le Flipper Zero est toujours indéniablement puissant, offrant aux pirates en herbe et aux testeurs de stylos chevronnés une pratique nouvel outil pour sonder la sécurité des appareils sans fil les plus répandus au monde.
Dans les critiques, les gens comparent Flipper Zero à un couteau suisse pour les tests de pénétration physique. Mais au cours de ma semaine de test de Flipper Zero, cela ressemblait plus à une lumière noire – quelque chose que je pouvais littéralement tenir devant un appareil qui révélerait des informations, invisibles à l’œil humain, sur son fonctionnement, les données qu’il émettait et à quelle fréquence. le faisait.
Voici une brève liste de certaines choses que j’ai apprises avec l’aide de Flipper Zero cette semaine : Certaines micropuces animales vous indiqueront la température corporelle de votre animal. Le capteur de pression des pneus de la voiture de mon voisin transmet des données à toute personne à portée du signal. Mon iPhone me fait exploser le visage avec des signaux infrarouges toutes les quelques secondes. Mon système de sécurité domestique est doté d’une détection de brouillage de signal intégrée. La salle de bain du bureau de WIRED dispose d’un distributeur de savon qui signale s’il a besoin d’une recharge.
Quand j’ai raconté à Alex Kulagin, l’un des co-créateurs de Flipper Zero, mes expériences d’utilisation de son outil pour faire ce genre d’observations banales, il a expliqué que c’était exactement à cela que l’appareil était destiné. « Nous voulons vous aider à comprendre quelque chose en profondeur, à explorer son fonctionnement et à explorer le monde sans fil qui vous entoure mais qui est difficile à comprendre », dit-il.
Kulagin et son partenaire commercial, Pavel Zhovner, ont eu l’idée de Flipper Zero en 2019. Depuis lors, leur entreprise a vendu 150 000 appareils et ils ont agrandi leur équipe à près de 50 personnes. Mais à mesure qu’ils ont grandi, ils ont rencontré une certaine résistance. Cet été, des paiements de plus de 1,3 million de dollars ont été bloqués par PayPal et, en septembre, les douanes et la patrouille frontalière américaines ont saisi une cargaison d’appareils. Selon Kulagin, le CBP a libéré la cargaison après un mois mais n’a pas encore dit à l’entreprise pourquoi il a retenu la cargaison. Le CBP a refusé la demande de WIRED de commenter les Flipper Zeros saisis.