Le flipper Zéro !
From zero to hero !
Flipper Zero : le couteau suisse du hacker
Ce guide pas-à-pas s’adresse à celles et ceux qui viennent de déballer leur Flipper Zero. On part des bases : mise à jour, découverte des différents modules (Sub-GHz, RFID, NFC, IR…), exemples à reproduire et glossaire express pour chaque terme technique. L’objectif : être opérationnel en moins d’une heure sans rien casser (ni la loi, ni votre matériel).
Ce guide pas-à-pas s’adresse à celles et ceux qui viennent de déballer leur Flipper Zero. On part des bases : mise à jour, découverte des différents modules (Sub-GHz, RFID, NFC, IR…), exemples à reproduire et glossaire express pour chaque terme technique. L’objectif : être opérationnel en moins d’une heure sans rien casser (ni la loi, ni votre matériel).
1 / Mettre à jour le firmware (OFW & Unleashed)
Firmware ? Le système d’exploitation du Flipper ; il contrôle chaque module.
OFW ? Official Firmware : c’est le firmware fournit par Flipper Zero.
Unleashed ? L’un des (nombreux) firmwares alternatifs. Les deux références sont Unleashed et RogueMaster (Xtrem n’est plus maintenu).
Firmware ? Le système d’exploitation du Flipper ; il contrôle chaque module.
OFW ? Official Firmware : c’est le firmware fournit par Flipper Zero.
Unleashed ? L’un des (nombreux) firmwares alternatifs. Les deux références sont Unleashed et RogueMaster (Xtrem n’est plus maintenu).
- Préparez la carte micro-SD (16 – 32 Go, FAT32, nom :
FLIPPER). - Mise à jour OFW WebUpdater
• Ouvrez flipperzero.one/update → installez QFlipper.
• Branchez l’USB-C → Connect → Install latest. - Passer à Unleashed le firmware alternatif
• Visitez la dernière release GitHub.
• Cliquez Install FW via Web Updater → Flash (Chrome recommandé). - Installer les Pack Extra App directement disponible dans le choix de l’installation
2 / Sub-GHz (300-433–868 MHz)
Définition : Bande radio courte-portée : télécommandes de garage, capteurs météo, volets…
Rolling-code ? Code changeant à chaque appui pour éviter la copie.
Pas-à-pas
1. Flipper → Sub-GHz → Read, appuyez sur la télécommande.
2. Save → nommez
3. Retour → Transmit pour rejouer le signal.
Dans « config » (Flèche de gauche) vous pouvez changer la fréquence, ou opter pour hopping : ON, pour basculer automatiquement sur les différentes fréquences.
Aller plus loin
• Spectrum Analyzer : repère une fréquence inconnue.
• Brute De Bruijn : teste tous les codes sur vieux systèmes.
• Signal-View : oscilloscope logique Sub-GHz.
Legal tip : testez uniquement votre matériel. Puissance ≤ 10 dBm (norme CE).
Définition : Bande radio courte-portée : télécommandes de garage, capteurs météo, volets…
Rolling-code ? Code changeant à chaque appui pour éviter la copie.
Pas-à-pas
1. Flipper → Sub-GHz → Read, appuyez sur la télécommande.
2. Save → nommez
garage433.3. Retour → Transmit pour rejouer le signal.
Dans « config » (Flèche de gauche) vous pouvez changer la fréquence, ou opter pour hopping : ON, pour basculer automatiquement sur les différentes fréquences.
Aller plus loin
• Spectrum Analyzer : repère une fréquence inconnue.
• Brute De Bruijn : teste tous les codes sur vieux systèmes.
• Signal-View : oscilloscope logique Sub-GHz.
Legal tip : testez uniquement votre matériel. Puissance ≤ 10 dBm (norme CE).
3 / RFID basse fréquence (125 kHz)
Définition : Badges HID Prox, EM4100, puces animaux ISO11784.
Définition : Badges HID Prox, EM4100, puces animaux ISO11784.
- Read : posez le badge, l’UID s’affiche.
- Emulate : testez l’accès sans programmer de carte.
- Write : clonez l’UID sur une puce T5577.
4 / NFC haute fréquence (13,56 MHz)
Définition : Badges Mifare, cartes de transport, pass pro.
DUMP : Copie intégrale d’une carte (blocs + clés).
Définition : Badges Mifare, cartes de transport, pass pro.
DUMP : Copie intégrale d’une carte (blocs + clés).
- Read : scannez la carte pour voir UID + type.
- Emulate : le Flipper se fait passer pour la carte.
- NFC Magic : change l’UID d’une carte « magic ».
- Mifare Classic Attack : Dans un usage plus avancé, il sera intéressant de regarder du coté des options Autopwn qui brute-force les clés et crée un dump (pas directement accessible sur Unleashed).
5 / Infrarouge (IR)
Définition : Pulses 38 kHz pour TV, climatiseurs, projecteurs.
Définition : Pulses 38 kHz pour TV, climatiseurs, projecteurs.
- IR → Universal Remotes→ TV/Audio/etc -> Power : code OFF universel.
- Learn New Remote : enregistrez un code IR d’une télécommande existante (mettre les led l’une en face de l’autre).
- Transmit pour tester.
6 / BadUSB
Définition : Le Flipper émule un clavier USB et exécute un script.
Duckyscript : Langage simple (DELAY, STRING, ENTER).
Pas-à-pas
1. Dans un éditeur PC, copiez :
3. Flipper → BadUSB → list.txt → Run.
4. Vérifiez
NB : activez « Ask on insert » pour éviter une exécution involontaire.
Définition : Le Flipper émule un clavier USB et exécute un script.
Duckyscript : Langage simple (DELAY, STRING, ENTER).
Pas-à-pas
1. Dans un éditeur PC, copiez :
DELAY 750 STRING powershell -nop -w hidden "Get-ChildItem C:\Users | Out-File C:\list.txt" ENTER2. Sauvegardez comme
/badusb/list.txt sur la SD.3. Flipper → BadUSB → list.txt → Run.
4. Vérifiez
C:\list.txt.NB : activez « Ask on insert » pour éviter une exécution involontaire.
7 / iButton (1-Wire)
Définition : Pastille DS1990A utilisée en hôtellerie, ascenseurs…
1. Read → Save pour l’UID.
2. Emulate pour tester.
3. Write sur un iButton réinscriptible.
Définition : Pastille DS1990A utilisée en hôtellerie, ascenseurs…
1. Read → Save pour l’UID.
2. Emulate pour tester.
3. Write sur un iButton réinscriptible.
8 / GPIO & UART
À quoi ça sert ? GPIO = broches d’entrée/sortie 3,3 V pour piloter LED, relais ou lire des capteurs ; UART = console série TX/RX 3,3 V pour dialoguer avec une carte ou un routeur.
Exemples pas-à-pas
À quoi ça sert ? GPIO = broches d’entrée/sortie 3,3 V pour piloter LED, relais ou lire des capteurs ; UART = console série TX/RX 3,3 V pour dialoguer avec une carte ou un routeur.
Exemples pas-à-pas
- Allumer une LED
• Branchez la LED : anode sur une broche GPIO, cathode vers GND via une résistance 330 Ω.
• Flipper → GPIO → Simple PWM → sélectionnez la broche, Duty 50 %.
• Faites varier le Duty pour ajuster la luminosité. - Lire un capteur DHT11
• Installez le plugin DHT Sensor (External Apps).
• DATA sur la broche GPIO 0, VCC 3,3 V, GND commun.
• Lancez le plugin : température / humidité s’affichent. - Console série UART
• Croisez TX ↔ RX (3,3 V) et reliez GND.
• Flipper → UART Bridge, baud 115 200 (par défaut).
• Le bootlog défile ; appuyez sur ▶ pour envoyer des commandes.
9 / Application mobile & scripts
• Flipper App (iOS / Android) : OTA, capture live, backup.
• pyFlipper : pilotez RFID/Sub-GHz via Python.
• Flipper App (iOS / Android) : OTA, capture live, backup.
• pyFlipper : pilotez RFID/Sub-GHz via Python.
10 / Plugins utiles
- MouseJacker – injection clavier Logitech.
- NFC Magic – change UID cartes magic.
- IRscope – analyse IR.
- Weather Station – sondes météo 868 MHz.
- Signal View – oscilloscope Sub-GHz.
- RFID Fuzzer – permutations UID.
- UART Terminal – console série.
11 / Accessoires conseillés
• nRF52840 Dongle : sniff BLE/Zigbee.
• CC1101 + LNA : portée Sub-GHz × 2.
• HackRF One : capture/émission large bande.
• Pogo pins SWD : dump flash STM32.
• nRF52840 Dongle : sniff BLE/Zigbee.
• CC1101 + LNA : portée Sub-GHz × 2.
• HackRF One : capture/émission large bande.
• Pogo pins SWD : dump flash STM32.
12 / Rester légal
- Testez uniquement votre matériel ou sous contrat.
- Puissance TX ≤ 10 dBm.
- Ne stockez pas d’UID tiers sans accord.
Vous avez maintenant : un firmware à jour, cloné un badge RFID, contrôlé une TV IR, exécuté un script BadUSB, et compris les bases de chaque module.
Le Flipper Zero n’est plus un gadget : c’est un bloc-notes RF dans la poche. Bon hack — responsable !
Le Flipper Zero n’est plus un gadget : c’est un bloc-notes RF dans la poche. Bon hack — responsable !
Quelques « must-have » dans External Apps :
Radio / Sub-GHz
Radio / Sub-GHz
- Marauder – sniffer / injecteur 433/868 MHz.
- SubGHz Chat – messagerie ASK 2 400 baud.
- Frequency Analyser – FFT temps réel.
- Pocsag – pagers hospitaliers.
- Radio Scanner – auto-log des trames.
- SubGHz Bruteforcer – brute rolling-code.
- BLE Spam – pub BT custom.
- Bluetooth Remote – télécommande HID.
- NFC Reader – UID + SAK instantané.
- Passport Reader – e-passeport ICAO 9303.
- MassStorage – émulation clé USB.
- USB Keyboard – saisie rapide DuckyScript.
- Jeux 8-bit – Tetris, Snake, Doom Lite…
/apps/ ou via QFlipper → Plugins. Usage éthique indispensable !)
Flipper Zero : état de l’art & usages avancés
Notes rapides pour pentesters radio, chercheurs embarqué et Red Teams.
1. Positionnement
- Outil complet : build-system fbt, SDK C, API Python (
pyFlipper), RPC gRPC. - > 650 plugins couvrant OSINT radio, fuzz infra-critique, glitch logique, capture SigMF.
- Une communauté structurée (Discord « Flipper Devices », dépôts
DarkFlippers) publie déjà des CVE prouvées avec le Flipper (CVE-2024-28305, récepteurs 433 MHz industriels).
2. Architecture matérielle — rappels utiles
| Fonction | Implémentation | Détail notable |
|---|---|---|
| Sub-GHz | CC1101 + LNA 2 dB | Suréchantillonnage 2 MS/s via SPI-DMA → IQ 8-bit (plugin IQStreamer). |
| LF/HF RFID | ST25R3916 × 2 | Appel HAL carrier_strength() : utile pour fingerprint d’antenne. |
| GPIO / SWD | 3 Grove + 2 pogo SWD | Latence < 7 µs — glitch VCC validé sur MCU 8-bit. |
| IR | LED 940 nm @ 100 mA | Plugin IRscope → export Pronto & JSON. |
3. Firmwares & forks de recherche
| Projet | Angle | Apport recherche |
|---|---|---|
| Stock | Sécurité CE/FCC | Pile Sub-GHz ré-écrite en Rust – base « trusted » pour hooks. |
| Unleashed | Offensive pratique | Capture rolling-code + brute De Bruijn, export SigMF. |
| RogueMaster H7 | UX & teaching | Shell Wi-Fi, BadUSB avancé, TPs licence pro. |
4. Cas d’usage spécialisés
4.1 RE Sub-GHz industriel
- Spectrum Scanner repère 868,35 MHz.
- IQStreamer + HackRF (down-convert) → SigMF 5 s.
- Décodage inspectrum : trame 40 bit CRC-6 poly 0x43.
- Raw + fuzz CRC → bypass complet en 2 h.
4.2 Reflexive Control (parking connecté)
Plugin Ghost-Jam envoie des nonces KeeLoq anticipés ; désynchronise le récepteur → forçage clé mécanique. Log temps réel via MQTT.
4.3 Capture BLE « sans BLE »
Flipper ↔ dongle nRF52840 (Sniffer v4.1) USB-CDC → Wireshark PCAP (Δt ≈ 35 ms).
4.4 Glitch rapide
- GPIO P0 → MOSFET sur VCC STM8.
- Impulsion 43 ns, sweep 0–1 µs → unlock flash en 3 min.
4.5 Démo ICS
Fork Modbus-RF injecte faux 03 Read Holding Registers sur RTU 433 MHz (agro-industrie) ; illustre l’importance du chiffrement.
5. Limites & challenger 2025
- TX bridé 10 dBm (LF < 30 m) sans LNA.
- Pas d’émission 2,4 GHz native.
- SPI saturé au-delà de 2 MS/s.
- Cryptanalyse off-board (Python / Go).
Défi : codec SigMF direct-to-SD compressé LZ4 temps réel (1 MS/s → 8 MB/s brut).
6. Conclusion
Le Flipper Zero s’impose comme micro-lab RF/RFID portable : instrumentation fiable, extensible (SDK + CI/CD), coût ≈ 200 €. Fuzz rolling-code, capture IQ, glitch tension, MITM BLE, démo supply-chain IR … tout tient dans 100 g. Reste la contrainte légale RF ; le « level-up » viendra d’une cryptanalyse embarquée et d’un futur SoC multi-protocole nRF54-series.
