Menu
À propos Services Parcours

Entreprises

Greek-Fire Services
gotHABITS
Shift Spotter
Lookatmedia
Blog
Travaillons ensemble
Matrix-style code on screen
Sécurité Mar 6, 2026 • 18 min de lecture

Hacking Is Not What You Think: Your First Real Security Wins

Hollywood lied to you about hacking. Here's what it actually is, why your Flipper Zero is gathering dust, and four projects that will change how you see security forever.

Partager:
Lee Foropoulos

Lee Foropoulos

18 min de lecture

The Hacker's Path : Une Série en 5 Parties

Partie 1 : IntroductionPartie 2 : Maîtrise du FlipperPartie 3 : Fondamentaux de KaliPartie 4 : ExploitationPartie 5 : L'Audit Complet

Vous avez acheté un Flipper Zero. Peut-être à cause des vidéos TikTok. Peut-être la promesse de "hacker" votre chemin à travers le monde numérique. Peut-être que vous trouviez simplement le dauphin mignon.

Et maintenant il est au fond d'un tiroir.

Je comprends. Vous l'avez déballé, joué avec l'analyseur sub-GHz pendant dix minutes, copié la télécommande de votre TV peut-être, et puis... rien. Parce que personne ne vous a dit quoi faire avec. Personne n'a connecté les points entre "gadget amusant" et "réellement comprendre la sécurité".

Cette série corrige ça. À la fin de ces cinq articles, vous comprendrez comment la sécurité fonctionne réellement, vous aurez réalisé un audit complet de votre vie numérique, et ce Flipper sera l'un des outils les plus utilisés de votre kit.

Mais d'abord, il faut désapprendre tout ce que Hollywood nous a enseigné sur le hacking.

Le mensonge d'Hollywood

Vous l'avez vu mille fois. Le génie en capuche tape frénétiquement tandis que du texte vert descend en cascade sur l'écran. "Je suis dedans," annonce-t-il, ayant contourné la sécurité du Pentagone en environ quarante-cinq secondes. La musique dramatique monte.

C'est complètement bidon.

Le vrai hacking ressemble à ça : Quelqu'un passe six heures à lire la documentation sur le fonctionnement d'un protocole particulier. Il remarque que le mécanisme d'authentification a une faille, peut-être qu'il ne valide pas correctement les entrées, ou qu'il fait confiance à des données qu'il ne devrait pas. Il écrit un petit script pour tester sa théorie. Ça ne marche pas. Il débogue pendant deux heures de plus. Finalement, il trouve la bonne approche. Pas de musique dramatique. Il a probablement besoin d'un café.

Le hacking, c'est comprendre les systèmes mieux que ce que leurs concepteurs avaient prévu. C'est tout. Ce n'est pas de la magie. Ce n'est pas un talent inné. C'est la curiosité plus la méthodologie plus la volonté de lire de la documentation ennuyeuse.

Le hacking, c'est comprendre les systèmes mieux que ce que leurs concepteurs avaient prévu. Ce n'est pas de la magie. C'est la curiosité plus la méthodologie plus la volonté de lire de la documentation ennuyeuse.

Les trois chapeaux

Le monde de la sécurité divise les praticiens en catégories selon l'intention :

  • Chapeau Noir : Acteurs malveillants. Ils pénètrent dans les systèmes pour le gain personnel, la vengeance ou le chaos. Ce sont des criminels, et ce sont eux dont parlent les médias.
  • Chapeau Blanc : Hackers éthiques. Ils pénètrent dans les systèmes avec permission pour trouver les vulnérabilités avant les chapeaux noirs. Les entreprises les paient pour ça. C'est une carrière légitime.
  • Chapeau Gris : Le milieu flou. Ils peuvent trouver des vulnérabilités sans permission mais les divulguent de manière responsable plutôt que de les exploiter. Légalement discutable, éthiquement débattable.

Ce que nous faisons dans cette série est sans ambiguïté chapeau blanc. Vous testez vos propres affaires. Votre réseau. Vos appareils. Votre sécurité. Ce n'est pas seulement légal, c'est intelligent.

Pourquoi apprendre ça ?

On ne peut pas défendre ce qu'on ne comprend pas. Chaque professionnel de la sécurité doit comprendre les techniques offensives, pas pour attaquer les autres, mais pour savoir contre quoi il se défend. Vous allez voir votre propre vie numérique du point de vue d'un attaquant. Cette connaissance est un pouvoir.

La réalité juridique

Réglons ça immédiatement, parce que je ne suis pas intéressé par aider qui que ce soit à aller en prison.

⚠️ La règle d'or

Ne testez que les systèmes que vous possédez ou pour lesquels vous avez une autorisation écrite explicite.

Ce n'est pas seulement un conseil éthique, c'est la réalité juridique. La loi sur la Fraude et l'Abus Informatique (CFAA) aux États-Unis fait de l'accès non autorisé aux systèmes informatiques un crime fédéral. "J'apprenais juste" n'est pas une défense. "Je ne voulais pas faire de mal" n'est pas une défense. "Je les ai informés de la vulnérabilité" n'est pas une défense.

La bonne nouvelle ? Tester vos propres affaires est complètement légal. Votre réseau domestique, vos appareils, vos comptes, tout est permis. Et honnêtement, c'est là que vous devriez commencer de toute façon. Vous trouverez suffisamment de vulnérabilités dans votre propre vie avant d'avoir besoin de chercher ailleurs.

Quand vous serez prêt à aller au-delà de vos propres systèmes, il existe des chemins légitimes :

  • Programmes de Bug Bounty : Des entreprises comme Google, Microsoft, Apple et des milliers d'autres paient des chercheurs pour trouver des vulnérabilités. HackerOne et Bugcrowd sont des plateformes qui connectent chercheurs et programmes. C'est légal, sanctionné et souvent lucratif.
  • Tests de pénétration : Devenez professionnel. Les entreprises embauchent des consultants en sécurité pour pénétrer leurs systèmes. Vous obtenez une autorisation écrite, un périmètre défini et un salaire.
  • Capture The Flag (CTF) : Des environnements de pratique conçus pour être piratés. TryHackMe, HackTheBox et d'autres fournissent des terrains de jeu légaux.

Tout dans cette série fonctionne sur votre propre équipement. Pas de zones grises. Pas de risque.

Votre boîte à outils : L'essentiel

80%
Des concepts pratiques de sécurité peuvent être appris avec seulement deux outils : un Flipper Zero et Kali Linux.

Nous allons nous concentrer sur deux outils principaux tout au long de cette série. Ensemble, ils couvrent environ 80% de ce que vous devez comprendre en matière de sécurité pratique.

Le Flipper Zero

Le Flipper Zero est un multi-outil à 200$ pour les fréquences radio et le hacking matériel. Il ressemble à un jouet (il y a un dauphin animé). Ce n'est pas un jouet.

Ce qu'il fait réellement :

  • Sub-GHz : Émettre et recevoir des signaux radio dans la gamme sub-gigahertz. Cela couvre les portes de garage, les clés de voiture, les capteurs sans fil, les stations météo et d'innombrables appareils IoT.
  • RFID (125kHz) : Lire et émuler des cartes de proximité basse fréquence, celles utilisées pour l'accès aux bâtiments, les abonnements de salle de sport et les anciennes clés d'hôtel.
  • NFC (13.56MHz) : Interagir avec les cartes haute fréquence comme les pass de transport, les badges d'accès récents et les cartes de paiement sans contact.
  • Infrarouge : Télécommande universelle. Apprendre et transmettre des signaux IR pour les TV, climatiseurs, projecteurs et tout ce qui a un récepteur IR.
  • BadUSB : Émuler un clavier. Branchez-le à un ordinateur et il tape le payload que vous avez programmé, instantanément.
  • GPIO : Extension matérielle. Connectez des modules externes pour le WiFi, des fréquences radio supplémentaires et des projets personnalisés.

Le Flipper ne pirate pas les choses automatiquement. C'est un outil d'apprentissage qui vous permet de comprendre comment fonctionnent les protocoles sans fil en interagissant réellement avec eux. Cette compréhension est ce qui vous rend dangereux (dans le bon sens).

Kali Linux

Si le Flipper est un couteau suisse, Kali Linux est un atelier complet.

Kali est une distribution Linux basée sur Debian conçue spécifiquement pour les tests de pénétration et la recherche en sécurité. Elle est préinstallée avec plus de 600 outils de sécurité, des scanners réseau aux crackers de mots de passe en passant par les frameworks d'exploitation.

Nous approfondirons Kali dans la Partie 3. Pour l'instant, sachez simplement qu'il existe et que c'est là que nous graduerons une fois les bases du Flipper maîtrisées.

Pourquoi ces deux-là

Matériel et logiciel. Physique et numérique. Le Flipper vous enseigne le monde sans fil : fréquences radio, cartes d'accès, infrarouge. Kali vous enseigne les réseaux : scan, exploitation, analyse.

Ensemble, ils vous donnent une image complète. Les attaques du monde réel combinent souvent les deux : un accès physique menant à la compromission du réseau, ou une reconnaissance réseau permettant l'entrée physique. Comprendre les deux domaines est ce qui sépare les amateurs curieux des véritables praticiens de la sécurité.

Lignes de code sur un écran sombre
Le vrai hacking, c'est lire de la documentation et comprendre les systèmes, pas du texte vert qui défile sur un écran

Point Clé

Le hacking, c'est comprendre les systèmes mieux que ce que leurs concepteurs avaient prévu. Ce n'est pas de la magie ni un talent inné. C'est la curiosité plus la méthodologie plus la volonté de lire de la documentation ennuyeuse.

Flipper Zero : De la boîte au niveau expert

Configurons correctement cet appareil. Si vous utilisez le firmware d'usine, vous laissez des capacités sur la table.

Firmware d'usine vs. personnalisé

Le Flipper est livré avec le firmware officiel de Flipper Devices. Il est stable, il est sûr, et il est... limité. Restrictions régionales sur les fréquences radio. Protocoles manquants. Moins de fonctionnalités.

Le firmware personnalisé déverrouille le plein potentiel du matériel. Les deux options principales :

Firmware Momentum (ma recommandation) :

  • Fréquences Sub-GHz régionales déverrouillées
  • Support de protocoles étendu
  • Applications supplémentaires
  • Meilleure personnalisation de l'interface
  • Communauté de développement active
  • Excellente documentation

Firmware Unleashed (alternative solide) :

  • Ensemble de fonctionnalités similaire à Momentum
  • Philosophie de développement différente
  • Certains préfèrent son interface
  • Également activement maintenu

J'utilise Momentum. Le choix entre les deux est principalement une question de préférence personnelle : les deux étendront considérablement ce que votre Flipper peut faire.

Projet 0 : Installer le firmware Momentum

Temps : 10 minutes

Ce qu'il vous faut : Flipper Zero, ordinateur, câble USB

Étapes :

  1. Téléchargez qFlipper depuis flipperzero.one (application officielle de bureau)
  2. Connectez votre Flipper via USB
  3. Dans qFlipper, allez dans la section firmware
  4. Sélectionnez "Installer depuis un fichier"
  5. Téléchargez la dernière version de Momentum depuis momentum-fw.dev
  6. Installez le fichier .tgz via qFlipper
  7. Attendez que la mise à jour se termine (ne débranchez pas !)
  8. Votre Flipper redémarre avec des capacités étendues

Orientation rapide

Avec Momentum installé, faisons le tour de vos nouvelles capacités :

  • Sub-GHz : Capture, analyse et transmission de fréquences radio
  • 125 kHz RFID : Lecture et émulation de cartes basse fréquence
  • NFC : Interaction avec les cartes haute fréquence
  • Infrarouge : Apprentissage et contrôle de télécommandes IR
  • Bad USB : Payloads d'émulation de clavier
  • iButton : Émulation de clés Dallas/Maxim 1-Wire
  • GPIO : Extension matérielle et modules
  • Applications : Jeux, outils et apps communautaires

Paramètres à modifier immédiatement : augmenter la luminosité de l'écran, régler le verrouillage automatique sur un délai raisonnable, et explorer les options spécifiques à Momentum pour les animations et les ajustements d'interface.

Vos premières victoires : Quatre projets qui changent tout

La théorie c'est bien. Passons à l'action. Ces quatre projets prendront environ une heure au total et changeront fondamentalement la façon dont vous voyez le monde autour de vous.

Projet 1 : Clonez toutes les télécommandes IR de votre maison

Temps : 15 minutes

Ce que vous apprendrez : Les signaux IR n'ont aucune sécurité. N'importe qui avec 20$ peut contrôler vos appareils.

Étapes :

  1. Naviguez vers Infrared → Learn New Remote
  2. Donnez-lui un nom utile (ex., "TV Salon")
  3. Pointez votre télécommande vers le récepteur IR du Flipper (haut de l'appareil)
  4. Appuyez sur un bouton de la télécommande
  5. Nommez ce bouton sur le Flipper
  6. Répétez pour tous les boutons que vous utilisez (power, volume, source, etc.)
  7. Sauvegardez la télécommande
  8. Répétez pour chaque appareil IR : TV, barre de son, climatiseur, ventilateurs, rubans LED

Testez-le : Allez dans Infrared → Saved Remotes → sélectionnez votre télécommande → utilisez-la

Ce que vous venez d'apprendre : Les télécommandes IR transmettent des commandes en texte brut sans authentification. Il n'y a pas de chiffrement, pas d'appairage, aucune sécurité. Quiconque peut pointer un émetteur IR vers votre TV peut la contrôler. C'est vrai pour la plupart de l'électronique grand public des 40 dernières années.

Projet 2 : Scannez vos cartes NFC

Temps : 10 minutes

Ce que vous apprendrez : Vos cartes diffusent plus de données que vous ne le pensez.

Étapes :

  1. Naviguez vers NFC → Read
  2. Tenez une carte contre l'arrière de votre Flipper (là où se trouve l'antenne NFC)
  3. Attendez que la lecture se termine
  4. Examinez les résultats

Essayez ces cartes :

  • Cartes de crédit/débit (voyez ce qui est exposé, généralement le type de carte et un numéro partiel)
  • Cartes de transport (montrent souvent le solde, les transactions récentes)
  • Badges de travail (identifiez le type de carte et le chiffrement)
  • Cartes clés d'hôtel (montrent généralement l'attribution de chambre)
  • Cartes de membre de salle de sport

Ce que vous venez d'apprendre : Les cartes NFC transmettent des données sans fil à tout lecteur à quelques centimètres. Certaines cartes sont chiffrées (vous le verrez indiqué). Certaines ne le sont pas. Le Flipper vous montre exactement ce que n'importe quel lecteur NFC peut voir. Pour les cartes sans chiffrement, c'est tout. Réfléchissez à ça la prochaine fois que vous êtes dans un métro bondé.

Concept de technologie et signaux
Le spectre radio autour de vous est constamment actif : vous n'aviez simplement jamais eu les outils pour le voir

Projet 3 : Explorez le spectre Sub-GHz

Temps : 15 minutes

Ce que vous apprendrez : Votre environnement émet constamment, et la plupart n'a aucune sécurité.

Étapes :

  1. Naviguez vers Sub-GHz → Frequency Analyzer
  2. Observez l'écran : il montre l'activité RF en temps réel
  3. Promenez-vous dans votre maison et votre quartier
  4. Notez quelles fréquences s'activent

Ce que vous verrez :

  • ~315 MHz / ~390 MHz / ~433 MHz : Portes de garage, clés de voiture, capteurs sans fil
  • ~433 MHz : Stations météo, sonnettes, certains appareils IoT
  • ~868 MHz (UE) / ~915 MHz (US) : Appareils domotiques, LoRa

Crédit supplémentaire : Allez dans Sub-GHz → Read et essayez de capturer des signaux. Appuyez sur votre propre télécommande de garage (en la regardant, pas la porte). Voyez le signal capturé. Examinez son protocole.

Ce que vous venez d'apprendre : Le spectre sub-gigahertz est incroyablement actif. Portes de garage, clés de voiture, stations météo, capteurs de sécurité, appareils domotiques, tous émettent. Beaucoup utilisent des codes statiques qui peuvent être capturés et rejoués. Les clés de voiture modernes utilisent des codes tournants (nous discuterons de pourquoi c'est important dans la Partie 2), mais les systèmes plus anciens ? Grand ouverts.

Projet 4 : Votre premier payload BadUSB

Temps : 20 minutes

Ce que vous apprendrez : Les ordinateurs font implicitement confiance aux claviers. C'est une faille de sécurité fondamentale.

Payload 1 - Hello World :

REM This is a comment - Flipper ignores these lines
REM Simple Hello World payload
DELAY 1000
GUI r
DELAY 500
STRING notepad
ENTER
DELAY 1000
STRING Hello from Flipper Zero!
ENTER
STRING Your computer just trusted me completely.
ENTER
STRING Think about what else I could have typed...

Étapes :

  1. Créez un fichier appelé hello.txt avec le payload ci-dessus
  2. Connectez le Flipper à l'ordinateur via USB
  3. Copiez le fichier dans SD Card/badusb/
  4. Sur le Flipper : Bad USB → hello.txt → Run
  5. Branchez le Flipper au port USB de votre ordinateur
  6. Regardez-le taper automatiquement

Payload 2 - Rick Roll (pour le fun) :

DELAY 1000
GUI r
DELAY 500
STRING https://www.youtube.com/watch?v=dQw4w9WgXcQ
ENTER

Ce que vous venez d'apprendre : Quand vous branchez un appareil USB qui s'identifie comme clavier, votre ordinateur lui fait entièrement confiance. Il n'y a pas de "faites-vous confiance à ce clavier ?" Ça fonctionne, c'est tout. Le Flipper a tapé ces caractères plus vite que n'importe quel humain, et l'ordinateur a accepté chaque frappe. Maintenant imaginez un payload qui ouvre PowerShell, télécharge un script depuis internet et l'exécute. C'est comme ça que les attaques USB fonctionnent dans le monde réel. L'accès physique à un port USB, c'est terminé.

Ce que vous venez d'apprendre

Dans la dernière heure, vous avez découvert :

  • L'IR n'a aucune sécurité. N'importe quel appareil avec un émetteur IR peut contrôler n'importe quel appareil avec un récepteur IR. Ligne de vue, pas d'authentification, pas de chiffrement. Votre télécommande TV émet des commandes que n'importe qui peut capturer et rejouer.
  • Les cartes NFC fuient des données. Chaque fois que vous tapez votre carte sur un lecteur, tout appareil NFC à proximité peut voir cet échange. Les cartes chiffrées protègent les bits importants, mais de nombreuses cartes, y compris certaines que vous portez quotidiennement, exposent plus que ce que vous attendriez.
  • Le spectre radio est bruyant. Des centaines d'appareils autour de vous émettent constamment. Portes de garage, clés de voiture, sonnettes, stations météo, appareils domotiques, tous émettent. Beaucoup avec une sécurité minimale ou inexistante.
  • La confiance USB est brisée. Les ordinateurs font implicitement confiance aux claviers. Branchez un appareil qui prétend être un clavier, et vous pouvez taper n'importe quoi, y compris des commandes qui compromettent le système.

Ce ne sont pas des vulnérabilités exotiques. Elles sont fondamentales au fonctionnement de ces technologies. Le Flipper n'a rien "piraté" : il vous a montré comment ces systèmes fonctionnent réellement, ce qui est en soi la révélation.

La sécurité par l'obscurité échoue au moment où quelqu'un regarde vraiment. Vous êtes maintenant quelqu'un qui regarde vraiment.

La suite

C'était la fondation. Vous comprenez ce qu'est réellement le hacking, vous avez configuré votre Flipper correctement, et vous avez complété quatre projets qui démontrent de vrais concepts de sécurité.

Dans la Partie 2, nous approfondissons chaque capacité du Flipper. Vous apprendrez :

  • Comment analyser et potentiellement cloner vos propres cartes d'accès (plongée approfondie 125kHz et 13.56MHz)
  • Pourquoi les signaux de porte de garage fonctionnent comme ils le font, et ce que signifient réellement les codes tournants
  • Comment écrire des payloads BadUSB sophistiqués qui démontrent de vraies chaînes d'attaque
  • Extension GPIO : étendre les capacités de votre Flipper avec des modules matériels
  • Tout ce que vous devez savoir avant de passer à Kali Linux
Google Calendar Outlook
Plan d'Action Partie 1 0/6

Avant ça, voici ce que vous devriez faire :

  • Explorer les paramètres du firmware Momentum et personnaliser votre Flipper
  • Lire vos propres cartes d'accès et documenter ce que vous trouvez
  • Capturer plus de signaux Sub-GHz et examiner les protocoles
  • Écrire un payload BadUSB personnalisé qui fasse quelque chose d'utile pour vous
  • Rejoindre la communauté Flipper (Discord, Reddit, GitHub)

Votre Flipper ne prend plus la poussière. Vous avez commencé le chemin. La prochaine fois, nous maîtrisons chaque protocole, et vous comprendrez pourquoi votre badge de travail est peut-être moins sécurisé que vous ne le pensez.

The Hacker's Path

Une série en 5 parties qui vous fait passer de curieux à compétent.

Partie 1 : Introduction ✓ Partie 2 : Maîtrise du Flipper Partie 3 : Fondamentaux de Kali Partie 4 : Exploitation Partie 5 : Audit Complet

Liste de contrôle Partie 1

☐ Firmware : Momentum (ou Unleashed) installé et configuré

☐ Télécommandes IR : Toutes les télécommandes du foyer capturées dans le Flipper

☐ Cartes NFC : Cartes personnelles scannées, exposition des données comprise

☐ Sub-GHz : Spectre exploré, signaux capturés

☐ BadUSB : Payload Hello World exécuté avec succès

☐ Compréhension : Fondamentaux de sécurité internalisés

How was this article?

Series

The Hacker's Path

View Overview →
1 Introduction 2 Flipper Mastery 3 Kali Fundamentals 4 Exploitation 5 The Full Audit
Part 2: Flipper Mastery

Partager

Link copied to clipboard!

You Might Also Like

Terminal window with SSH connection on a dark monitor
Security

SSH Like You Mean It: The Windows-to-Kali Pipeline That Just Works

16 min read
Green matrix-style code streaming down a dark screen
Security

The Only Kali Linux Cheat Sheet You'll Ever Bookmark

14 min read
Linux terminal with code on screen
Technology

Skip the Forums: How I Used AI to Build the Perfect Linux Install in One Afternoon

10 min read
Lee Foropoulos

Lee Foropoulos

Business Development Lead at Lookatmedia, fractional executive, and founder of gotHABITS.

🔔

Ne manquez aucun article

Recevez une notification lors de la publication de nouveaux articles. Aucun courriel requis.

Vous verrez une banniere sur le site quand il y a un nouvel article, plus une notification navigateur si vous autorisez.

Notifications du navigateur uniquement. Pas de spam, pas de courriel.