Avec le Flipper Zero, pirater les étiquettes numériques de prix est très facile

Les étiquettes électroniques de rayon, ces petits écrans e-paper affichant les prix dans les supermarchés et enseignes de distribution, communiquent via infrarouge et NFC. Une application pour Flipper Zero, baptisée TagTinker, montre à quel point ces dispositifs sont accessibles sans restriction technique.

L'application a été développée par un utilisateur connu sous le pseudonyme i12bp8. Son auteur précise qu'elle est destinée à des fins de recherche, de curiosité en matière de sécurité et d'affichage d'art numérique sur du matériel appartenant légalement à l'utilisateur.

A lire aussi

• Test Oclean AirPump A10 : un hydropulseur performant et puissant, mais à quel prix ?
• Le video chat : une nouvelle façon de renforcer les liens au quotidien

Ce que permet TagTinker

TagTinker offre plusieurs fonctions : afficher du texte, envoyer des motifs de test, ou encore transmettre des images bitmap vers une étiquette compatible. Avec un module Wi-Fi additionnel pour le Flipper Zero, il devient possible d'envoyer des visuels générés en réseau en temps réel.

Ces étiquettes reçoivent leurs instructions via infrarouge, une technologie que le Flipper Zero gère nativement. Le balayage NFC permet également d'identifier les tags et d'y apporter des modifications. Aucune authentification renforcée ne semble s'interposer entre l'appareil émetteur et l'étiquette cible.

L'auteur de l'application interdit expressément toute utilisation à des fins illégales. Le projet se présente comme un outil éducatif et expérimental, non comme un vecteur d'intrusion commerciale.

Une faille structurelle dans les étiquettes de rayon

Le vrai enseignement de TagTinker ne porte pas sur le Flipper Zero lui-même, mais sur la conception des étiquettes électroniques. Ces équipements, déployés massivement dans le commerce de détail, ne disposent visiblement pas de mécanismes d'authentification suffisants pour empêcher des modifications non autorisées.

En théorie, n'importe quelle personne équipée d'un Flipper Zero et de cette application pourrait modifier l'affichage d'une étiquette dans un magasin. Changer un prix ou afficher un contenu inapproprié ne nécessiterait pas de compétences techniques avancées.

Cette réalité pose une question directe aux fabricants d'étiquettes électroniques et aux enseignes qui les déploient : quelles protections sont en place pour vérifier l'origine des commandes reçues par ces dispositifs ?

Le Flipper Zero, un outil polyvalent et légal

Le Flipper Zero est un appareil open source conçu pour interagir avec de nombreux protocoles sans fil : NFC, infrarouge, radiofréquence, Bluetooth et d'autres encore. Il est commercialisé comme un outil de test et d'apprentissage, utilisé par des chercheurs en sécurité et des amateurs.

Sa conception modulaire permet d'étendre ses capacités via des accessoires, comme le module Wi-Fi mentionné dans TagTinker. L'appareil n'est pas interdit au transport aérien par la TSA américaine et peut donc accompagner son propriétaire lors de déplacements.

TagTinker n'est qu'un exemple parmi d'autres de la façon dont la communauté Flipper Zero développe régulièrement de nouvelles applications. Chaque projet révèle, souvent involontairement, des lacunes dans la sécurité d'équipements du quotidien.

Un rappel sur la sécurité des objets connectés en magasin

Les étiquettes électroniques de rayon sont adoptées de plus en plus largement par les grandes surfaces, en partie pour faciliter les mises à jour de prix à distance. Cette connectivité, si elle simplifie la gestion, introduit aussi des risques que TagTinker illustre concrètement.

La démonstration reste dans un cadre légal lorsqu'elle est réalisée sur du matériel personnel. Mais elle met en lumière une surface d'attaque réelle dans les environnements commerciaux, que les responsables informatiques de la distribution auraient intérêt à évaluer sérieusement.

Source : BGR