Vols de voitures: Pourquoi bannir les « dispositifs de piratage » est une mauvaise idée

Il y a quelques semaines, le ministre fédéral de l'Innovation, des Sciences et de l'Industrie, François-Philippe Champagne, a annoncé l'intention de son gouvernement de bannir certains appareils électroniques qualifiés de « dispositifs de piratage » selon un article de Radio-Canada, sous prétexte que ces dispositifs seraient utilisés abondamment dans les vols de voitures. Le communiqué de presse dans lequel le gouvernement annonce son intention semble pour sa part cibler un appareil en particulier:

« Le gouvernement du Canada coordonne ses efforts à travers le pays et prend des mesures immédiates pour lutter contre les vols de véhicules : [...] Examiner toutes les possibilités pour interdire les dispositifs utilisés pour voler des véhicules en copiant les signaux sans fil du système de télédéverrouillage, tels que le Flipper Zero, ce qui permettrait de retirer ces dispositifs du marché canadien, en collaboration avec les organismes chargés de l’application de la loi. »

Outre le Flipper Zero, l'article de Radio-Canada mentionne pour sa part deux autres marques d'appareils : HackFR et LimeSDR. Une ancienne version de l'article incluait même les Raspberry Pi, qui ne sont rien d'autre que des ordinateurs miniatures, dont je possède moi-même ce qui commence à ressembler un peu trop à une collection:

Ma collection de Raspberry Pi

On peut se servir d'un Raspberry Pi pour toutes sortes de choses, par exemple pour héberger un système de domotique pour sa maison (comme un ordinateur...), en brancher un à un téléviseur afin d'en faire un centre multimédia (comme un ordinateur...), pour héberger un site Web (comme, wait for it, un ordinateur...), etc. Bref, je le répète: c'est un ordinateur. Il possède en prime des ports GPIO permettant de contrôler des composants électroniques comme des LED — on est encore loin d'un appareil destiné aux voleurs de voitures.

L'inclusion des Raspberry Pi dans la première version de l'article était donc assez alarmante, et j'espère qu'il s'agissait d'une erreur du journaliste, car ces bidules ne permettent pas plus de voler des voitures que n'importe quel autre ordinateur — ce qui ne veut par ailleurs pas dire qu'ils ne le permettent pas, voyez-vous où je veux en venir? Bref, passons avant qu'il ne vienne à l'idée de quelqu'un d'interdire la vente d'ordinateurs portables...

Parlons donc plus spécifiquement du Flipper Zero, le seul dispositif à être nommé directement dans le communiqué de presse.

Un Flipper Zero, c'est quoi?

Photo d'un Flipper Zero

Le Flipper Zero est un outil portatif permettant d'interagir avec plusieurs technologies de communication, incluant:

  • RFID et NFC, soit les technologies utilisées notamment par les cartes à puces (ce qui n'est en passant pas particulièrement inquiétant, puisque les téléphones intelligents permettent aussi d'interagir avec ces technologies);
  • La communication infrarouge, utilisée traditionnellement par les télécommandes des appareils domestiques tels que les téléviseurs, climatiseurs, etc;
  • Des ondes radio à basse fréquence;
  • Des protocoles de communication radio à courte portée, dont Bluetooth Low Energy (utilisé par exemple par les montres intelligentes);
  • Un port USB (oui oui, comme à peu près n'importe quel autre appareil électronique);
  • Des ports GPIO (un type de port que j'ai mentionné plus haut, aussi disponible sur les Raspberry Pi).

Cet appareil peut notamment capturer, analyser et reproduire des signaux. C'est donc un appareil très utile pour effectuer des tests d'intrusion, c'est-à-dire vérifier si un système est vulnérable pour pouvoir, justement, corriger cette vulnérabilité. C'est aussi un outil d'expérimentation fantastique pour les curieux qui veulent mieux comprendre le fonctionnement du monde numérique qui les entoure.

Est-ce un dispositif de piratage?

Je l'ai dit, le Flipper Zero peut servir à effectuer des tests d'intrusion, donc chercher les vulnérabilités d'un système (par exemple, un système d'accès). Cela implique qu'il peut effectivement être utilisé pour pirater un système... à condition que ce système soit vulnérable! Les spécialistes en cybersécurité ont justement besoin d'« outils de piratage » pour faire leur travail, soit trouver les failles de sécurité afin qu'elles soient colmatées. Bannir un dispositif sous prétexte qu'il puisse être utilisé comme outil de piratage est donc contre-productif pour la sécurité.

Est-ce un outil de vol de voitures?

Précisons maintenant un détail important: il n'existe aucune preuve crédible que les Flipper Zero sont utilisés pour voler des voitures.

Oui, cet appareil permet de capter les signaux transmis par les clés intelligentes de certaines voitures. Et oui, il permet de reproduire ces signaux... sauf que cela n'est simplement pas utile pour voler une voiture, à tout le moins une voiture récente. C'est que les systèmes de déverrouillage des voitures modernes utilisent ce qu'on appelle des « codes tournants », c'est-à-dire que le code qui doit être envoyé par la clé à la voiture change après chaque utilisation, et qu'il est impossible pour un tiers de prédire le code suivant. Donc même si on utilisait un Flipper Zero pour lire ce code, l'information qu'on obtiendrait deviendrait immédiatement obsolète.

Comprenons-nous bien : les voitures récentes ne sont pas invulnérables. Autrement, il n'y aurait pas de problème de vols de voitures. Sauf que les vulnérabilités qui sont exploitées pour voler des voitures aujourd'hui ne le sont pas à l'aide d'un Flipper Zero.

Récapitulons : non seulement bannir les « dispositifs de piratage » sous prétexte qu'ils sont utilisés dans les vols de voitures est contre-productif pour la sécurité, le dispositif qui est le plus directement ciblé par le gouvernement n'est vraisemblablement même pas utilisé par les voleurs de voitures! L'hypothèse la plus plausible pour expliquer cette décision gouvernementale est qu'elle soit basée sur des canulars circulant en ligne au sujet de l'appareil en question, ce qui est franchement inquiétant.

Et même si...

Jusqu'à maintenant, j'ai expliqué pourquoi les experts en cybersécurité ont besoin de « dispositifs de piratage » pour faire leur travail, et j'ai aussi fait valoir que le dispositif le plus directement ciblé par le gouvernement ne permet vraisemblablement pas de voler des voitures.

Tout cela étant dit, si le dispositif en question était bel et bien utilisé pour voler des voitures, serait-il vraiment efficace de le bannir pour lutter contre ce crime? D'abord, les criminels trouveraient bien un moyen de mettre la main sur cet appareil quand même, ou trouveraient un autre appareil offrant des possibilités équivalentes — on ne parle pas exactement d'un secret nucléaire ici. Il serait tout simplement impossible de bannir tous les appareils pouvant être utilisés à ces mêmes fins malveillantes, à moins de râtisser beaucoup trop large. Et même si c'était possible, pourquoi les « voleurs de chars », qui agissent déjà dans l'illégalité, s'empêcheraient-il d'utiliser un dispositif sous prétexte que c'est interdit? Bannir un dispositif ne le rend inaccessible qu'aux personnes qui l'utilisent à des fins légales. Or, ces dernières... ne volent pas d'autos.

De plus, il n'existe pas de dispositif magique permettant de contourner la sécurité d'un système. Si une voiture peut être volée à l'aide d'un appareil électronique, cela signifie que son système de sécurité présente une vulnérabilité. Ce qu'il faut bannir, ce n'est pas l'appareil, c'est la vulnérabilité! Il faut responsabiliser les constructeurs automobiles qui ne prennent pas la sécurité suffisamment au sérieux.

Si un cadenas est vulnérable aux marteaux, on change le cadenas, on n'interdit pas les marteaux!

Et la crise dans tout ça?

En passant, saviez-vous qu'il y a actuellement moins de vols de voitures au Canada qu'il y a 30 ans? Ça ne veut pas dire que ce n'est pas un problème auquel il faut s'attaquer, mais ça permet en tout cas de mettre les choses en perspective.

Pour le droit à la curiosité

On le sait, on vit dans un monde où le numérique et la technologie en général sont devenus ubiquitaires. Or, pour que la société puisse continuer à maîtriser la technologie, il est essentiel d'encourager les esprits les plus curieux et créatifs à s'y intéresser.

Les soi-disant « dispositifs de piratage » permettent d'abord d'explorer, de comprendre le fonctionnement de la technologie qui nous entoure. En permettant aux utilisateurs de manipuler et d'interagir avec différents appareils électroniques, ces outils favorisent une approche pratique de l'apprentissage technologique. Par exemple, en analysant les signaux émis par une télécommande, une puce RFID ou un moniteur d'activité physique, on peut acquérir une compréhension approfondie des principes de fonctionnement de ces objets, tout ça de façon complètement inoffensive.

Il faut valoriser la curiosité technologique au même titre qu'on valorise la curiosité scientifique. Pour cela, il faut que les outils d'expérimentation demeurent accessibles. Après, il faut bien sûr aussi sensibiliser à l'importance d'assouvir cette curiosité dans le respect de l'éthique et des lois.

Le mot de la fin

Le plus préoccupant dans tout ça, c'est sans doute le manque flagrant de compréhension de la technologie de la part des décideurs, et surtout leur empressement à prendre une décision basée sur une prémisse erronée sans avoir fait les vérifications qui s'imposent. Tout porte à croire que ce qui était recherché, c'était un gain politique facile, bien plus qu'une véritable solution à un problème.

Il y a aussi un risque de pente glissante à chercher à interdire un outil technologique utilisé principalement à des fins légitimes, sous prétexte qu'il puisse aussi être utilisé à des fins illégitimes. Ce type de motivation est également utilisé par certaines législatures pour s'attaquer aux outils de communication chiffrée, bénéfiques pour la sécurité et la vie privée de tous, sous prétexte qu'ils puissent aussi être utiles aux criminels.

Références