Le 8 février, François-Philippe Champagne, ministre canadien de l'Innovation, des Sciences et de l'Industrie, a annoncé que le Canada interdirait les appareils utilisés pour le vol de voitures sans clé. Le seul appareil mentionné nommément était le Flipper Zero, l'appareil multi-outils qui peut être utilisé pour tester, explorer et déboguer différents protocoles sans fil tels que RFID, NFC, infrarouge et Bluetooth.
L'EFF explore le piratage des toilettes
Bien qu'il soit utile comme dispositif de test d'intrusion, Flipper Zero n'est pas pratique par rapport à d'autres dispositifs plus spécialisés pour le vol de voitures. Il est possible que le battage médiatique autour du Flipper Zero sur les réseaux sociaux ait amené les gens à croire que cet appareil offre des opportunités de piratage plus faciles pour les voleurs de voitures*. Mais les responsables gouvernementaux profitent également de ce battage médiatique. Cela conduit à des politiques qui ne sécurisent pas les systèmes, mais entravent plutôt des recherches importantes qui exposent des vulnérabilités potentielles que l'industrie devrait corriger. Même si le Canada revient sur la déclaration initiale interdisant purement et simplement les appareils, restreindre les appareils et les ventes pour « aller de l'avant avec des mesures visant à restreindre l'utilisation de tels appareils aux seuls acteurs légitimes » est gênant pour les chercheurs en sécurité.
Ce n’est pas le premier gouvernement qui cherche à limiter l’accès à Flipper Zero, et nous avons déjà expliqué pourquoi cette approche est non seulement préjudiciable aux chercheurs en sécurité, mais rend également la population en général plus vulnérable aux attaques. Les chercheurs en sécurité ne disposent peut-être pas des outils spécialisés utilisés par les voleurs de voitures, c'est pourquoi des outils plus généraux s'avèrent utiles pour détecter et se protéger contre les vulnérabilités. Les appareils à usage général tels que le Flipper ont un large éventail d'utilisations : tests d'intrusion pour faciliter le renforcement d'un réseau domestique ou d'une infrastructure organisationnelle, recherche sur le matériel, recherche sur la sécurité, développement de protocoles, utilisation par les amateurs de radio, et bien d'autres encore. Restreindre l’accès à ces appareils entravera le développement de technologies solides et sécurisées.
Lorsque le régulateur national des télécommunications du Brésil, Anatel, a refusé de certifier le Flipper Zero et a par conséquent empêché le service postal national de livrer les appareils, il répondait au battage médiatique. Avec un écran et des commandes rappelant les consoles de jeux vidéo portables, le format compact et la gamme de matériel (y compris un émetteur-récepteur infrarouge, un lecteur/émulateur RFID, un module SDR et Bluetooth LE) ont fait de l'appareil une cible facile à diaboliser. Même s’il était facile de créer des images de vols de voiture par pointer-cliquer, citer des exemples de ce qui se produit réellement s’est avéré impossible. Plus d'un an plus tard, vous auriez du mal à trouver un seul cas de vol de voiture avec l'appareil. Le nombre de voitures volées avec le Flipper semble s’élever à zéro (jeu de mots). C’est le même battage médiatique et la même pure spéculation qui ont conduit les régulateurs canadiens à commettre une erreur de jugement en interdisant ces appareils.
Pire encore, les forces de l'ordre d'autres pays ont signalé leur propre intention de placer les propriétaires de l'appareil sous un examen plus minutieux. Le Brisbane Times cite la police du Queensland, en Australie : « Nous sommes conscients qu'il peut être utilisé à des fins criminelles, donc si vous êtes arrêté avec cet appareil, nous vous poserons de sérieuses questions sur la raison pour laquelle vous possédez cet appareil et ce que vous êtes. je l’utilise pour.” Nous supposons que d’autres outils dotés de capacités similaires, ainsi que les couteaux suisses et les marqueurs Sharpie, qui « peuvent tous être utilisés à des fins criminelles », ne seront pas soumis au même niveau d’examen. Le simple fait de posséder cet appareil, que ce soit en tant qu'amateur ou professionnel – ou même simplement en tant que client curieux – ne devrait pas faire l'objet de soupçons policiers trop zélés.
Il n’y a pas si longtemps, la maîtrise de la ligne de commande était considérée comme une compétence dangereuse qui justifiait l’intervention des autorités. Et tout comme pour les peurs des décennies passées, le petit grain de vérité intégré dans le battage médiatique et les peurs lui confère un pouvoir démesuré. La ligne de commande peut-elle être utilisée pour faire de mauvaises choses ? Bien sûr. Le Flipper Zero peut-il aider à des activités criminelles ? Oui. Peut-il être utilisé pour voler des voitures ? Pas aussi bien que de nombreux autres outils (et meilleurs, du point de vue des criminels). Cela signifie-t-il qu'il devrait être interdit et que ceux qui possèdent cet appareil devraient être placés sous des soupçons criminels ? Absolument pas.
Nous espérons que le Canada comprendra cette logique et considérera cet appareil comme l’un des nombreux outils de la boîte à outils qui peuvent être utilisés pour le bien ou le mal, mais surtout pour le bien.
* Bien que des inquiétudes aient été soulevées concernant la connexion de Flipper Devices à l' appareil d'État russe , aucune donnée inattendue n'a été observée s'échappant vers les serveurs de Flipper Devices, et une grande partie du matériel dédié à la sécurité et aux tests d'intrusion qui n'a pas été interdit souffre également de problèmes similaires.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2024/03/restricting-flipper-zero-accountability-approach-security-canadian-government le Fri, 29 Mar 2024 03:30:16 +0000.