Flipper le Hackfin !

ZATAZ vient de tester sur le terrain le Flipper Zero, du matos ethical hacking dédié à l’audit physique d’un environnement informatisé. Pas de doute, le Dauphin a des dents de requin !

Tout d’abord je tiens à remercier l’équipe Lyonnaise de Lab401 de m’avoir fait découvrir ce matériel dédié à la cyber sécurité et à l’audit physique d’un environnement informatique à auditer. Mais avant de rentrer dans le vif du sujet, regardons d’abord la genèse de cet étrange animal qu’est le Flipper Zero.

Irukagochi

Flipper Zero est un outil pour hacker éthique. Le projet date d’octobre 2018. Il est inspiré du projet pwnagotchi. Février 2020, le premier « proof of concept » sort du laboratoire de Pavel Zhiner, l’instigateur de cette idée. Quelques mois plus tard, le papier se transforme en KickStarter. 60 000 dollars US sont demandés pour fabriquer les premiers exemplaires. Les auteurs, Pavel Zhiner, Valeria Aquamine, Akex Kulagin, Andrew Strokov, Roman Galeev et Michael Oleinikov repartiront avec 4 millions de dollars, en 8 minutes, et plus de 30 000 fans !

Février 2021, les premiers exemplaires quittent les entrepôts. La Dauphin Flipper Zero pouvait prendre son envol.

Un dauphin qui ne manque pas d’air

L’animal est grand comme une carte à jouer. Il est épais, disons comme un paquet de chewing-gum. Equipé d’un écran, il s’éclaire dès que vous poussez un des boutons présent sur la façade du boitier. Trois touches centrales : l’allumage, qui fait aussi office de « return » ; un clavier directionnel (haut, bas, droite et gauche) et un dernier poussoir faisant office de validation/ok.

Ce qui intrigue, les nombreuses options. Un espace infrarouge, des trous pour y glisser des cartes électronique (wifi, …) comme dans ma photo ci-dessous, une prise USB C, une entrée pour mini carte SD, de petites pointes métalliques arrondies sur le dos. Mais qu’est-ce que tout ceci ? D’autant plus qu’il ne s’agit que de la partie immergée de l’animal comme j’ai pu vous le montrer dans la Cyber Emission de ZATAZ sur Twitch (chaque dimanche à 16h30), avec la rediffusion des meilleurs moments sur le Youtube de ZATAZ.

Ce n’est pas un dauphin, mais un couteau Suisse dédié au hacking

La partie visible n’est qu’une partie d’un iceberg de cyber sécurité qui ne laisse pas indifférente. Les excroissances présentées ci-dessus servent à intercepter et recopier un signal infrarouge ; copier et reproduire une puce comme celle utilisée pour enclencher/couper une alarme ; la prise USB C permet de charger la bestiole, mais aussi d’utiliser le Flipper ZERO comme clé USB de type Ducky (émuler un clavier et des ordres informatiques en connectant uniquement la clé USB à la machine, PC/MAC, à infiltrer), la multitude de petits trous sur le dos du Flipper permet d’y accrocher une carte wifi.

La partie immergée de l’iceberg est encore plus folle. Les entrailles de la bête offre aussi un copieur NFC, RFID, de fréquence radio, … Bref, un dispositif multi-outils, open source. Ils permettent de rechercher et tester des protocoles radio, des systèmes de contrôle d’accès, du matériel, etc. L’animal est totalement personnalisable.

Le dernier point qui rend encore plus « fun » cet outil de cyber sécurité, Le dauphin Flipper ZERO grandit à chaque interaction avec des systèmes numériques. Vos missions forgent sa personnalité. Plus vous le faites bosser, plus il va s’amuser et commenter vos actions. Dernier détail qui « tue », un jeu Snake est caché dans la clé, ainsi qu’un lecteur de musique.

Un outil dangereux ?

Comme tout matériel informatique, mais pas seulement dans l’informatique, entre de mauvaises mains, le Flipper ZERO pourrait devenir une arme numérique loin d’être négligeable. Les auteurs y ont pensé, d’autant que le matos permet de stocker les informations interceptées et copiées. Un mot de passe peut-être mis en place pour protéger l’accès. L’outil est open source, j’en ai profité pour rajouter une petite option qui détruit le contenu de la carte SD en cas de deux mauvais identifiants de connexion rentrés à la suite.

Dernier point, le Flipper ZERO peut agir comme une clé 2FA, une couche supplémentaire à votre cyber sécurité.

Aucun ordinateur n’est requis pour l’utiliser, sauf pour sa mise à jour et l’installation des codes et plugins personnels. Il fonctionne sur PC et MAC.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. NVA Reply

    Vivement que je reçoive le miens 😉

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.