– ÉTUDIANTS –
Promotion ESD32 – Aston Paris
Laurent CHUNG
Daniel DIEUX
Jordan DORMONT
– SOMMAIRE –
– INTRODUCTION –
Qu’est-ce que Flipper Zero ?
Histoire
– FONCTIONNEMENT –
Énumération des capacités
Possibilités
Limites
Démonstrations
Bad USB
Sub-1 GHz
RFID
NFC
– RISQUES –
Dérives éthique
Impacts IoT et entreprise
Analyses
Préventions et axes d’améliorations
Évolution des projets
– CONCLUSION –
– INTRODUCTION –
- Qu’est-ce que Flipper Zero ?
Le Flipper Zero est un croisement loufoque entre un Tamagotchi et un couteau suisse pour hackers et pentesters. Pour nourrir et faire évoluer l’animal totem de ce gadget, le dauphin, il vous faudra utiliser le panel d’outils que propose ce »jouet ». Plus vous l’utilisez, plus il évolue.
Derrière cette gimmick familière de notre enfance, sa principale utilité est destinée à vérifier la robustesse de la sécurité des appareils. En effet, la philosophie de ce projet est d’être une combinaison de tous les outils pentest dans une enveloppe aux allures d’une console de jeu. Une autre force, est qu’il est entièrement open-source. Une communauté très active gravite autour de ce projet, multipliant ainsi les possibilités de hacking, amusement.. Ou nuisance.
- Histoire
Flipper Zero est né sous l’impulsion de Pavel Zhovner et Alex Kulagin sur Kickstarter. Initialement soumis à une contribution à hauteur de 60k$, le projet a atteint un budget final de quasiment 5M$. Un succès fulgurant, qui incite l’équipe fondatrice à pousser les murs et débuter des campagnes de recrutement pour leur initiative.
– FONCTIONNEMENT –
- Énumération des capacités
Utilisation
Ce gadget s’accompagne du logiciel qFlipper, lui permettant de mettre régulièrement à jour son firmware. En addition, c’est grâce à celui-ci que l’aggrandissement des possibilités s’opère. Au regard de la vocation première d’être open-source, la communauté a possibilité d’y introduire des programmes tiers, sans regard vis-à-vis des restrictions normatives.
Possibilités
Sans tomber dans les travers d’une descriptions exhaustives et technologiques de l’appareil, voici une brève mise lumière des principales possibilités « out of the box » :
RFID : La duplication des cartes d’ouvertures de porte d’immeuble ou d’entreprise.
NFC : L’appareil embarque tous les standards NFC (ISO-14443). Il est donc possible de récupérer les informations d’une carte bancaire, réaliser une copie d’une clef d’appartement, dupliquer certaines carte de transport ou de manière plus légère, la duplication de figurine type Amiibo.
Sub-1 GHz Radio : Outil permettant d’émuler des transmissions d’onde radio, dupliquant ainsi des signaux de portes de garages, clefs sans fil, capteurs IoT, etc.
Infrarouge : Une bibliothèque de séquences de commandes des fournisseurs les plus courant est intégré. Pour conséquence et à titre d’exemple, ceci permet d’émuler une télécommande de téléviseur. Évidemment, si un appareil n’est pas référencé, la communauté a possibilité de partager le nécessaire pour prendre contrôle du dit appareil.
iButton : Le flipper dispose également d’un connecteur 1-Wire intégré permettant de lire les touches de contact iButton. 1-Wire est un ancien protocole encore beaucoup utilisé dans le monde.
Good / BadUSB : Fonctionnalité similaire à une Rubber Ducky. Cette fonctionnalité permet en un branchement USB, d’appliquer des scripts préenregistrés et y introduire tout type de séquençage d’instructions : récupération de MDP, désactivation d’antivirus, installation de programme, réparation système, scan antivirus via ClamAV, etc.
GPIO : Permet le branchement de module hardware afin d’étendre les fonctionnalités de l’outil. Seul le module officiel en développement, mais commercialisé, est un module Wifi.
U2F Key : Permet d’utiliser son appareil pour émuler une clef Universal 2nd Factor (Yubikey, Titan Security Key, …) et permet un renforcement de la sécurité d’un compte en ligne.
Limites
Malgré un panel d’outil vaste, le Flipper Zero n’est pas exempté d’une certaine inefficacité dans son utilisation.
Quelques exemples :
Copier les signaux émis d’une clef de voiture reste possible, néanmoins, rejouer le même signal sur un véhicule ne fonctionnera pas. En effet, les véhicules embarquent un système de clef incrémentiel, que le Flipper Zero ne peut pas calculer.
La copie des clefs d’appartement utilisant le MiFare ou des attaques en bruteforce, n’est pas un exercice réalisable aujourd’hui. Les protections autours de MiFare sont trop avancées. Typiquement, trois signaux sont nécessaires lors d’une ouverture d’une porte Vigik : Key – Sector – UID. Le Flipper n’enregistre pas l’UID, actuellement.
La duplication d’une clef de parking nécessite d’être à proximité et ce, plusieurs secondes.
L’interaction NFC entre le Flipper Zero et les cartes bancaires, reste très sommaire. Seul la récupération de numéro des MasterCard est réalisable, et sans récupération du CVV. Quant à Visa, la lecture est impossible.
Au vu des quelques exemple ci-dessus, l’utilisation du Flipper Zero comprend trop de frontières pour en faire un outil complet de pentester ou de Red Team.
- Démonstration
Bad USB
Semblable à l’utilisation d’une Rubber Ducky, elle peut permettre l’exécution de script préenregistré.
Exemple d’extration de MDP via BrowserPassView
Sub-1 GHz
Le Flipper Zero permet l’émulation d’une télécommande de porte de garage
 |
| Illustration réalisée par l’équipe Flipper Zero |
RFID
Permet l’émulation de badge d’appartement ou d’entreprise.
 |
| Illustration réalisée par l’équipe Flipper Zero |
NFC
Permet la récupération des informations d’une carte de crédit, ou l’émulation de figurine NFC de type Amiibo.
 |
| Dossier regroupant les informations des figurines Amiibo |
– RISQUES –
- Dérives éthiques
Malgré un produit destiné à un marché de niche, son accessibilité au grand public peut mener à des risques. Son enveloppe de jouet, l’aspect ludique de l’outil, l’incitation à jouer (hacker) pour faire évoluer le Tamagotchi, le développement communautaire grandissant, le tout dans une enveloppe tarifaire mesurée ; augmente inéluctablement un risque de démocratisation de la nuisance.
Dans son plus simple appareil, le Flipper Zero est entièrement légal : Pas de bruteforce, brouilleur, etc. Il n’a pour vocation initiale, que d’effectuer des tests de sécurité des appareils ou réseaux. Cependant, due à la facilité d’accès aux guides et ressources, installer des programmes permettant d’enjamber les limites de la légalité est à portée de tous : GitHub, Discord, Reddit et même Twitter. Toutes ces plateformes promeuvent la facilité d’utilisation de l’outil.
La dangerosité du Flipper Zero réside sur la modularité de l’utilisation du GPIO. Différents modules customs existent et sont déjà adaptés à l’appareil : NRF24, Magspoof, MiFare classic, etc. L’apparition pléthorique de projets autour de ce gadget est croissante. Les dérives peuvent toucher tout type d’IoT : lumières, chauffages, voitures, etc. La seule limite reste la volonté des développeurs à adapter leurs modules au Flipper.
À titre d’exemple, récemment, la création d’une compatibilité avec les appareils ESP32Marauder et le module Wifi GPIO officiel de Flipper Zero a été publiée. Cette combinaison permet une utilisation similaire à des outils orientés hacking Wifi déjà existants tel que la suite Aircrack (Sniffing, attack, shutdown, etc).
En résumé, les revendications annoncées de l’équipe du Flipper Zero, au sujet la légalité de leur objet, est de facto galvaudé. D’une vocation initiale d’être qu’un simple outil de test de sécurité ; l’enjambé vers l’illégalité et arborer des programmes tiers illégaux, rend l’outil potentiellement dangereux et risque d’avoir un impact à l’avenir, au regard de la facilité d’utilisation.
- Impact IoT et entreprise
Analyses
À la suite de notre liste non-exhaustive des risques énumérés, nous pouvons conclure aujourd’hui que l’impact immédiat reste minimal. Néanmoins, considérer la dimension prospective sur les effets que peut avoir un tel objet peut être pertinent à analyser.
Pour se rendre compte des évènements potentiels et anticiper les risques, il suffit de jeter un œil au forum officiel de l’éditeur : toutes les technologies embarquées du Flipper y sont mentionnées.
Pour réaliser un premier état des lieux, un simple regard aux sujets recevant le plus de vues : Bad USB Ducky Payload Tips ; Ducky script implementation ; Hacking street led display ; Pet ship scanner… Des sujets aux abords trivial en première lecture, mais signe qu’une évolution autour du Flipper est possible.
À l’image des OS Linux orienté cybersécurité, les forums et communauté du Flipper risques de se désinhiber et émettre des requêtes bien plus intrusives. C’est un signe d’alerte potentiel pour les éditeurs d’IoT, qui doivent se mettre à la page, au regard de l’indigence généralisée vis-à-vis de la sécurisation des objets connectés.
Préventions et axes d’améliorations
En contre-mesure de cet avènement, plusieurs solutions :
OWAPS a émit un top10 des coquilles à éviter lors de la conception, déploiement ou gestion des systèmes IoT.
En comparant les possibilités du Flipper et les différents points de l’OWASP, les parties : Service réseau non sécurisé, Utilisation de composants non sécurisés ou obsolètes, Protection de la vie privée insuffisantes, etc. Tous sont des points possiblement exploitables par le gadget.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a mit à disposition un guide de recommandation relatives à la sécurité des systèmes d’objets connectés.
Exemple du guide de sécurité pertinente de l’ANSSI :
Donnée dans une infrastructure distante
Minimiser les droits de l’infrastructure
Réaliser des tests et fuzzing
D’autres points relevés par l’ANSSI sont pertinents, dans le cadre d’une mise en œuvre de bonne pratique de protection IoT.
- Évolution des projets
Flipper Zero n’en n’est qu’à sa genèse. L’initiative de l’équipe de Pavel Zhovner semble prendre de l’ampleur au vu des projets futurs, et notamment le Flipper One. Un ordinateur de poche, embarquant les fonctionnalités de Kali Linux, pourrait être un réel outil de hacking de poche, en combinaisons des modules GPIO customs.
La cumulation de tout ces points, avec la possibilité d’utiliser les projets communautaires de GitHub, permettrai d’avantage rendre le piratage et la nuisance accessible à tous. Typiquement, l’utilisation du projet MiFare Hardnested sur le Flipper One, faciliterai potentiellement les options de bruteforce et ouverture de porte.
– CONCLUSION –
Flipper Zero, le parfait partenaire d’une red team ? Une menace redoutée ? Devons-nous tous nous soucier d’un tel gadget ? Oui, mais en demi-teinte.
Cet objet n’est la représentation que d’une combinaison de plusieurs outils déjà existant sur le marché, dans une enveloppe très originale et ludique. Il n’est pas le sésame universel ultime et absolu.. Pour l’instant.
En effet, toutes les l’évolutions et ses dangers seront portés par le mouvement communautaire autour de l’objet et des attentes mercatiques de l’équipe de Flipper. Le succès du Zero avec ses 38 000 backers et les autres ventes additionnels des revendeurs, montre qu’un marché existe. Le Flipper One quant à lui, glanera sans nul doute un succès encore plus grand.
Les fabricants d’IoT et sociétés doivent être sensibilisés par les dangers que peuvent représenter ce type d’objet. Internal Hacking, malveillance, revanche, nuisance, .. Tout peut être prétexte à l’utilisation d’un tel objet. Limité sur sa forme Zero, elle peut être bien plus intrusive sous la forme One.
Le Flipper Zero en l’état, est un bien très amusant et sans grand danger immédiat. Néanmoins, son évolution semble être croissante, et nous laisse penser que le prochain animal totem de ce gadget, pourrait se transformer en requin.
– SOURCES –
Kickstarter Flipper Zero : https://www.kickstarter.com/projects/flipper-devices/flipper-zero-tamagochi-for-hackers?lang=fr
Site officiel du projet : https://flipperzero.one/
Interview Motherboard d’Alexander Kulagin : https://www.vice.com/en/article/bvxyjm/meet-flipper-the-tamagotchi-you-feed-by-hacking-stuff
ANSSI IoT : https://www.ssi.gouv.fr/uploads/2021/09/anssi-guide-securite_des_systemes_objets_connectes_iot-v1.0.pdf
Flipper One : https://flipperzero.one/one
Formation ESD : https://www.aston-ecole.com/expert-en-securite-digitale/