// ZERO-SECU · CYBERSECURITY

Kesako11 min de lecture

Flipper Zero : le petit de la cybersécurité bien fantasmé sur les réseaux.

zero-secu 27 septembre 2025
#Tools
Diabolisé sur TikTok, banni par Amazon, redouté par les gouvernements… le Flipper Zero a fait et fait beaucoup parler de lui. Mais derrière les vidéos des pseudos influenceur cyber et des décisions politiques sans expertises, se cache un petit outil d’apprentissage. Je vais vous montrer d’un phénomène qui révèle surtout de la méconnaissance collective de la cyber et du numérique.

Ce que je trouve drôle, c’est que c’est un Tamagotchi qui aurait mal tourné. Un tout petit boîtier blanc et orange, orné d’un dauphin souriant, capable de lire des badges d’immeuble, d’enregistrer des badges de garage et d’explorer les ondes radio qui nous entourent. Voilà le Flipper Zero en quelques mots. Depuis 2020, ce «joujou pour geeks » fait frémir les autorités et fascine les autres.

Sur TikTok, on le voit « pirater des Teslas », « sniffer des informations de carte bancaire » ou « ouvrir n’importe quelle porte d’hôtel ». Des millions de vues pour le buzz, des commentaires paniqués, et hop voila : Amazon le bannit en avril 2023 pour « dispositif de skimming ». Le Brésil saisit les colis depuis début 2023. Le Canada menace de l’interdire en février 2024 avant de faire marche arrière. Même les États-Unis ont confisqué 15 000 unités fin 2022 avant de les relâcher, « Bien oui…comme c’est bizarre! (n’y voyez aucune référence à un certain Eric Z».

Mais voilà…plot twist, la plupart de ces exploits viraux sont soit truqués, soit largement exagérés, soit malhonnête voir les 3 à la fois. Le Flipper Zero n’est ni une baguette magique comme pour Harry Potter, ni l’arme ultime des cybercriminels. C’est avant tout un microscope pour explorer l’invisible monde des ondes qui nous entourent. Un outil d’apprentissage qui, utilisé de manière responsable et légale, peut nous aider à comprendre et améliorer la sécurité de des systèmes au quotidien.

Alors, plutôt que de céder à la panique et aux interdictions aveugles, il faudrait voir le potentiel éducatif du Flipper Zero. Car tout devient connecté, donc, comprendre ces technologies n’est plus un « truc » de geekos.

 

 

On oublie les fantasmes comme dans les « Experts Miami 😎» . Le Flipper Zero, c’est d’abord des technologies qui existent depuis des décennies, rassemblées dans un format poche avec une interface ludique. Lancé via Kickstarter en 2020 où il a levé 4,8 millions de dollars, il combine :

  • Radio sub-GHz (433/868 MHz) : pour écouter et émettre sur les fréquences des télécommandes de portail, sonnettes connectées ou capteurs météo.
  • RFID basse fréquence (125 kHz) : ces vieux badges d’immeuble que votre syndic refuse de remplacer.
  • NFC (13,56 MHz) : la techno de votre carte de transport ou de votre badge de bureau moderne.
  • Infrarouge : comme une télécommande universelle sous stéroïdes.
  • iButton/1-Wire : ces pastilles métalliques qu’on trouve encore sur certaines portes.
  • Port GPIO : pour les makers qui veulent bricoler leurs propres modules.
  • Bluetooth : pour se connecter à votre smartphone et servir de clé d’authentification U2F.

Le tout piloté par un processeur STM32WB55 et agrémenté d’un écran monochrome qui affiche… un dauphin virtuel qui évolue selon votre utilisation. Oui, c’est un Tamagotchi pour hackers au vrai sens du terme.

La révolution Firmware 1.0 (septembre 2024) a transformé la donne. Fini le bricolage permanent ! On a maintenant :

  • Une autonomie qui passe d’une semaine à **un mois en veille** (enfin !).
  • Un app store officiel avec des centaines d’applications communautaires.
  • Le support du JavaScript pour coder sans se prendre la tête avec le C++.
  • Un module NFC complètement réécrit, deux fois plus rapide.
  • Le support de 89 protocoles radio, 20 RFID et même la possibilité d’écouter les talkies-walkies analogiques.
  • Des transferts Bluetooth 2x plus rapides avec Android.

Enfin bref! L’écosystème a mûri. Ce n’est plus un gadget pour early adopters masochistes, mais un vrai outil stable et accessible.

 

Il faut s’avoir : à la date de cette article, 90% des vidéos virales sont du bullshit. Il faut appeler un chat un chat.

 « Il ouvre toutes les voitures modernes »
Mais bien sur, et la marmotte et le chocolat tout ça tout ça. Faux et Archi-faux. Depuis les années 90, les voitures utilisent des codes tournants (rolling codes). À chaque pression sur votre clé, un nouveau code unique est généré. Le Flipper peut enregistrer UN signal, mais le rejouer ne servira à rien car ce code est déjà périmé. Donc à date, les voleurs de voitures utilisent des amplificateurs de signal à 5000-15000$ avec 4 modules radio pour relayer le signal de votre clé depuis votre maison jusqu’à votre voiture. Le Flipper n’a qu’un seul module radio donc à voir avec un PCB additionnel.

 « Il clone les cartes bancaires pour payer »
Non. Le Flipper peut lire certaines infos publiques d’une carte NFC (comme le fait n’importe quel smartphone avec une app gratuite), comme: le type de carte, quelques transactions récentes sans montants sensibles. De plus, les cartes EMV génèrent des cryptogrammes uniques pour chaque transaction. Impossible de payer avec une carte clonée. D’ailleurs, essayez de payer deux fois avec le même cryptogramme, vous verrez ce qui se passe (spoiler alterte: walou, nada).

 « Il casse n’importe quel chiffrement »
Ah oui carrément rien que ça, c’est vrai qu’il dispose d’une RTX 5090…. Le Flipper n’est pas une machine de guerre cryptographique. C’est un STM32, pas un supercalculateur quantique. Il ne peut pas bruteforcer de l’AES-256 ou casser du RSA. Il explore, il apprend, il teste. C’est tout.

 Ce qu’il fait vraiment bien :

  • Montre que votre badge d’immeuble de 1995 n’a aucune sécurité
  • Révèle que votre sonnette « smart » balance ses données en clair
  • Démontre que les capteurs de pression de vos pneus fuient des infos
  • Prouve que certains modèles de serrures d’hôtel ont des failles béantes (coucou Dormakaba Saflok et ses 3 millions de portes vulnérables dans 131 pays)

Alors, à quoi ça sert si on ne peut pas braquer une banque avec ? Eh bien, à plein de trucs légaux!

 Apprentissage des technologies sans fil
Vous savez comment fonctionne votre télécommande de garage ? Non ? Avec le Flipper, vous pouvez visualiser le signal, mesurer sa fréquence (souvent 433.92 MHz en Europe), voir s’il utilise un code fixe (mauvais) ou tournant (bien). C’est de la physique appliquée dans votre poche.

 Audit de sécurité domestique
Testé la sécurité d’une sonnette connectée qui utilise un code fixe. N’importe qui peut l’enregistrer et sonner à distance.

 La super télécommande universelle
Marre de chercher LA bonne télécommande ? Le Flipper peut mémoriser tous vos appareils IR. TV, clim, soundbar, projecteur… Un seul device pour les gouverner tous. Et contrairement aux vidéos TikTok, non, vous ne pouvez pas « hacker » les écrans géants des grandes ville avec.

Le cas Dormakaba : quand le Flipper révèle les vraies failles
En mars 2024, des chercheurs ont démontré qu’avec un Flipper Zero (ou même un smartphone sous Kali NetHunter), on pouvait créer des passe-partout pour 3 millions de serrures des hôtels Dormakaba Saflok. La faille existait depuis… 1988. 36 ans ! Le Flipper n’a pas créé le problème, il l’a révélé. Résultat : Dormakaba a déployée des correctifs.

Pourquoi les gouvernements paniquent (et pourquoi c’est absurde)

 Brésil : la saisie systématique
Depuis 2023, l’Anatel (l’ARCEP brésilienne) saisit tous les Flipper Zero en douane. Motif : « dispositif utilisé pour faciliter des crimes ». Sauf que tous les composants du Flipper sont légaux et disponibles sur AliExpress. C’est comme interdire les ciseaux parce que des débiles profonds peuvent s’en servir pour commettre des méfaits.

 Canada : « En mode » rétropédalage
Février 2024 : « On va bannir le Flipper Zero pour lutter contre le vol de voitures ! » tweete le ministre François-Philippe Champagne…Et non je ne ferais pas de jeu de mots sur son patronyme bien que cela soit tentant . En fin de compte, 900 000 vues, 800 réponses assassines. Les experts démontent une fois de plus (comme si il le fallait), que le Flipper ne peut PAS voler de voitures modernes. Mars 2024 : « Bon, on va juste interdire les usages illégaux. » Ah par ce que ce n’était pas déjà le cas ?.

Amazon : le ban ridicule
« Dispositif de skimming de cartes » selon Amazon. Alors que n’importe quel smartphone avec NFC peut lire les mêmes infos. Pendant ce temps, Amazon continue de vendre des « clés USB 16 To » à 20$ et des vrais skimmers. Logique proche voir égale à zéro.

La vraie raison : la peur de l’inconnu
Les politiciens voient des vidéos TikTok truquées, paniquent, et prennent des décisions que prendrait une personne âgée devant les chaines d’info en continues. C’est plus facile de bannir un gadget que d’admettre que des infrastructures critiques utilisent des technos datant de Mathusalem. Flipper le dauphin n’est que le messager, pas le problème.

Le Flipper Zero n’est plus un projet Kickstarter. C’est un vrai écosystème mature :

 Apps et firmwares

  • Firmware officiel 1.0 : stable, légal, suffisant pour 90% des usages.
  • Unleashed : le firmware alternatif préféré des pros, sans restrictions régionales.
  • Momentum : l’héritier spirituel d’Xtreme, pour les power users.
  • RogueMaster : le couteau suisse avec toutes les apps communautaires pré-installées.

 Modules et extensions

  • Wi-Fi Devboard (ESP32-S2) : pour le debug et les expérimentations réseau.
  • Prototyping boards : pour créer vos propres modules.
  • Cases et accessoires: parce qu’un Flipper, c’est aussi un style.

 La communauté.
150 000 unités vendues, des milliers de contributeurs, des centaines d’apps. Le Discord officiel est une mine d’or d’informations. Reddit regorge de projets créatifs. GitHub déborde de code open source. C’est ça, la vraie force du Flipper : sa communauté.

⚠️ Minute papillon: le Flipper Zéro peut vous attirer des ennuis si votre boite crânienne comporte beaucoup trop de case en moins. Voici quelques règles :

 En France et dans l’UE :

  • Émission radio : respectez les bandes ISM (433, 868 MHz) et les puissances maximales (25 mW généralement).
  • Clonage de badges : JAMAIS sans l’autorisation écrite du propriétaire du système.
  • Tests de sécurité : uniquement sur VOS propres systèmes ou avec mandat explicite comme pour les exercices de pentests.
  • Données personnelles : lire un tag NFC qui identifie quelqu’un = RGPD. Donc ne soyez pas bête.
  • Lieux publics : A évitez. Même pour « rigoler ». Faire des « vues » sur TikTok ne valent pas une garde à vue.

 

Finalement, le Flipper Zéro fait peur et fantasmé sur la technologie. Pour certains, c’est l’outil du démon qui va permettre à n’importe quel ado de devenir un membre d’une APT XXX. Pour d’autres, c’est un jouet surcoté qui ne fait rien de plus qu’un Arduino. La vérité, comme souvent, est entre les deux.

Le Flipper Zero est un révélateur. Il montre que notre badge de 1995 n’a aucune sécurité. Que la voiture « connectée » de papa balance des données en permanence. Que cet hôtel 4 étoiles utilise des serrures vulnérables depuis 36 ans. Il ne crée pas les failles : il les rend visibles non plus des hackers chevronnés mais pour tous. Et c’est là que ça dérange.

En effet reconnaître ces vulnérabilités, c’est admettre qu’on a construit une partie du monde numérique sur des fondations bancales. C’est plus facile de pointer du doigt le messager que de réparer les fondations. Mais ce n’est pas en bannissant les microscopes qu’on élimine les microbes.

Le Flipper Zero, utilisé de manière responsable et légale, permet d’apprendre et de sensibiliser. Comprendre ces technologies n’est plus optionnel. Entre les ados curieux qui veulent comprendre comment ça marche et les vétérans qui veulent sécuriser leur quotidien, le Flipper Zero trouve parfaitement sa place.

Alors oui, il faut l’utiliser dans le respect des lois et de l’éthique. Mais non, il ne faut pas le diaboliser. Car au final, le Flipper Zero n’est qu’un outil. C’est ce qu’on en fait qui compte. À vous de voir si vous préférez rester dans l’ignorance… ou apprendre à naviguer dans ce nouveau monde.

 

C’était Zérosécu, et comme je dis toujours, la cybersécurité est moins cher que gratuit.

J’apporte la plus grande attention et le plus grand soin à chaque article, mais si toutefois, si vous repérez une erreur, faites-moi signe !

Note de les droits d’auteur (images): Les visuels intégrés peuvent provenir de base d’image et du site officiel du flipper zéro , et sont utilisés à des fins d’illustration et d’analyse conformément au droit de citation.

Sources et références:Documentation officielle Flipper Zero, GitHub officiel du firmware , Unsaflok hotel lock vulnerability ,Flipper Blog – Response to Canada , ETSI EN 300 220 , ANFR – Appareils à faible portée , ARCEP – Portail bandes libres