Vous avez peut-être entendu parler du Flipper Zero . Il est commercialisé sous le nom d'"Appareil multi-outils portable pour les geeks" – un appareil portable programmable doté de matériel qui facilite les tests de pénétration sans fil et le piratage lors de vos déplacements. L'appareil, qui accueille son propriétaire avec un adorable cyber-dauphin sur son écran monochrome de 128 x 64 pixels, rencontre des problèmes au Brésil : bien que des produits aux caractéristiques similaires soient disponibles pour les Brésiliens, le régulateur national des télécommunications Anatel a signalé le Flipper Zero comme un appareil qui sert à des fins illicites ou facilite un crime ou un délit. Comme pour les autres appareils émettant des radiofréquences, lorsque le Flipper Zero est expédié dans le pays, le bureau de poste national intercepte et redirige l'appareil vers Anatel pour certification. Anatel a alors décidé de ne pas certifier l'équipement et de le saisir en conséquence, ne permettant pas au Flipper Zero de se rendre à sa destination finale.
Maciej Łutczyk, CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0), via Wikimedia Commons
L'appareil lui-même n'introduit aucune technologie fondamentalement nouvelle. Tout le matériel – l'émetteur-récepteur infrarouge, le lecteur/émulateur RFID, les capacités SDR et Bluetooth LE – est disponible dans d'autres versions ,peut-être plus produits spécialisés . Ce qui est nouveau dans le Flipper Zero, c'est son facteur de forme et son interface, qui le rendent portable et facile à utiliser sur le terrain.
Le Flipper Zero a été appelé un multi-outil de piratage. Et comme un multi-outil physique, il y a sans doute des utilisations qui faciliteraient la commission d'un crime. Mais aussi comme un multi-outil physique, cela ne justifie pas d'interdire l'accès à l'appareil en gros. Des lois sont déjà en place qui criminalisent les actes de piratage malveillant. L'interdiction des outils commerciaux ne fera que rendre les systèmes de sécurité plus vulnérables en limitant l'accès de ceux qui travaillent à sécuriser ces systèmes. Le piratage malveillant qui concerne Anatel et que Flipper Zero permettrait dépend des vulnérabilités des systèmes – ce sont les problèmes réels qui méritent une solution. Mais nous ne pouvons corriger les failles de sécurité qu'une fois que nous savons qu'elles existent, et c'est à cela que sert la recherche en sécurité.
Le Flipper Zero a des utilisations claires : tests d'intrusion pour faciliter le renforcement d'un réseau domestique ou d'une infrastructure organisationnelle, recherche sur le matériel, recherche sur la sécurité, développement de protocoles, utilisation par les amateurs de radio, et bien d'autres. Mais c'est probablement sa conception UX unique qui a valu au produit sa notoriété et l'a attiré l' attention des médias – ce dernier a partiellement contribué à une représentation négative de ses capacités comme "des problèmes en attente de se produire et bien plus encore".
C'est cette notoriété et cette représentation qui ont poussé Anatel à le considérer comme un appareil illicite alors que d'autres matériels restent disponibles dans le pays. Malgré les utilisations légitimes d'un Flipper Zero, Anatel a choisi de se concentrer sur la possibilité d'une utilisation illégale de l'appareil. L'interdiction pure et simple de l'appareil entraînera des dommages tangibles. Les professionnels auront accès à des outils de leur métier arbitrairement limités et (contrairement à l'objectif déclaré d'Anatel) pourraient ne pas être en mesure de développer des techniques pour atténuer les dommages potentiels causés par des pirates malveillants avec les mêmes appareils.
La création, la possession ou la distribution d'outils liés à la recherche sur la sécurité ne doivent pas être criminalisées ou autrement restreintes. Comme nous l'avons expliqué , en s'appuyant sur les droits reconnus par la Convention américaine relative aux droits de l'homme, les outils de cybersécurité sont essentiels à la pratique de la sécurité défensive et ont des utilisations légitimes, telles que l'identification et le test de vulnérabilités pratiques. Le codage est une activité expressive protégée et l'utilisation de code informatique pour examiner les systèmes informatiques et trouver des failles de sécurité est une étape essentielle pour les corriger et améliorer la confidentialité et la sécurité pour nous tous.
Refuser la certification à Flipper Zero n'empêche pas l'utilisation d'autres outils pour exploiter les mêmes vulnérabilités, car cela n'empêche pas les gens d'apporter un Flipper Zero de l'étranger dans leur sac sans avoir à l'expédier à travers la frontière brésilienne. Alors que la loi brésilienne interdit l'utilisation d'appareils émetteurs de radiofréquences qui n'ont pas la certification d'Anatel, une telle illégalité ne dissuaderait guère un pirate informatique malveillant. Ceux qui ont une intention malveillante trouveraient des moyens d'utiliser l'appareil sans avoir à laisser de trace écrite. Les actions de l'agence entravent ceux qui sont engagés dans la recherche sur la sécurité. Nous appelons les autorités brésiliennes à reconsidérer leur décision et à permettre l'accès aux outils commerciaux techniques, y compris le Flipper Zero.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/03/flipper-zero-devices-being-seized-brazils-telecom-agency le Fri, 10 Mar 2023 01:07:57 +0000.