Recherche originale : Stephen « scp » Pote — projet « Rolling Recon && Tire Prints » · outils & PoC tyrepr1ntz. Analyse & mise en perspective : Abdoul Karim Mamani Malam Goga.

On le sait peu, mais la voiture garée en bas de chez vous est probablement un émetteur radio actif. Depuis qu'ils sont rendus obligatoires — aux États-Unis avec le TREAD Act (capteurs directs imposés depuis 2007) puis dans l'Union européenne (depuis novembre 2014) — les systèmes de surveillance de la pression des pneus, ou TPMS (Tire Pressure Monitoring System), équipent la quasi-totalité du parc automobile. Conçus pour la sécurité routière, ces capteurs présentent une caractéristique rarement discutée : ils diffusent sans cesse, sans chiffrement et sans authentification, un identifiant qui désigne le véhicule de façon unique.

Que peut-on faire de ce flux radio permanent ? C'est la question que s'est posée le chercheur Stephen « scp » Pote. Sa recherche, relayée en juin 2026 par l'analyste Denis Laskov (@it4sec) dans sa veille cyber, montre qu'avec un récepteur SDR à quelques dizaines de dollars et un peu de logiciel libre, on peut transformer le TPMS en outil de surveillance des déplacements — ou, dans une optique inverse, en capteur de détection de présence. Le projet, baptisé tyrepr1ntz (« empreintes de pneus »), illustre une vérité centrale de la sécurité des équipements radio : un signal qu'on ne protège pas est un signal qu'on offre.

Cette recherche n'invente pas une faille : elle outille et popularise un constat documenté depuis quinze ans par la recherche académique. En 2010 déjà, une équipe des universités de Rutgers et de Caroline du Sud avait démontré à USENIX Security que les TPMS étaient écoutables à environ 40 mètres d'un véhicule en mouvement et porteurs d'identifiants statiques permettant le pistage. Quinze ans plus tard, le parc roulant n'a pratiquement pas changé sur ce point.

Fiche technique
Pistage & détection de véhicules par signal TPMS (SDR)
ChercheurStephen « scp » Pote
Relayé parDenis Laskov (@it4sec) — veille cyber, Substack, 11 juin 2026
ProjetRolling Recon && Tire Prints — outils & PoC tyrepr1ntz
Système cibléTPMS direct — capteurs de pression intégrés à chaque roue
Bandes radio315 MHz (Amérique du Nord) · 433,92 MHz (Europe, reste du monde)
ModulationASK / OOK ou FSK · encodage Manchester / Manchester différentiel
IdentifiantID statique 32 bits, unique par capteur, transmis en clair
VecteursRéception passive (écoute) · rejeu & usurpation (spoofing) actifs
MatérielRTL-SDR (~25–40 $) · HackRF · nœuds ESP32-CAM + CC1101
TypeFuite de vie privée / traçabilité — absence d'authentification & de chiffrement
ImpactPistage de véhicules, détection de présence, déclenchement de fausses alertes tableau de bord
CVE assignéAucun (classe de vulnérabilité documentée — USENIX Security 2010)

Comment fonctionne un TPMS

Il existe deux familles de TPMS. Le TPMS indirect n'utilise pas de capteur dédié : il déduit une perte de pression à partir des capteurs de vitesse de roue du système ABS. Il n'émet aucun signal radio et n'entre donc pas dans le champ de cette recherche. Le TPMS direct, lui, repose sur un capteur physique logé dans chaque roue, généralement intégré à la valve. C'est lui qui pose la question de la vie privée.

Chaque capteur direct est un petit système embarqué autonome : un capteur de pression MEMS, une sonde de température, souvent un accéléromètre (pour détecter la rotation de la roue et n'émettre qu'en roulant), un microcontrôleur, un émetteur radio, une pile au lithium dimensionnée pour cinq à dix ans, et un identifiant unique gravé en usine. À intervalle régulier, le capteur assemble une trame et la diffuse sur la bande 315 ou 433 MHz.

Que contient une trame TPMS ?

ChampContenuRôle dans le pistage
ID capteur Identifiant statique 32 bits Critique — fait office d'empreinte unique, comme une plaque d'immatriculation radio
Pression Valeur de pression du pneu Indice du type / de la charge du véhicule
Température Température interne du pneu Indice d'usage récent (véhicule qui vient de rouler)
Drapeaux d'état Batterie faible, alerte, etc. Contexte secondaire
CRC / checksum Contrôle d'intégrité Intégrité — pas de protection contre la lecture ni le rejeu
Le point faible structurel — la trame ne comporte ni chiffrement ni authentification. L'identifiant est statique : il ne change jamais sur la durée de vie du capteur. Quiconque écoute le bon canal peut donc lire l'ID, et un même ID capté à deux endroits différents désigne le même véhicule. La sécurité routière a été pensée ; la vie privée ne l'a pas été.

Deux régimes d'émission coexistent. Dans les systèmes dits low-line, les capteurs émettent périodiquement, y compris à l'arrêt, ce qui facilite l'écoute passive. Dans les systèmes high-line, l'émission peut être déclenchée par un signal basse fréquence à 125 kHz envoyé par le véhicule — mais ce même mécanisme de réveil peut être imité pour forcer un capteur à émettre à la demande, supprimant la contrainte d'attendre une émission spontanée.

La recherche de scp Pote : du sniffer à la plateforme

L'apport de Stephen « scp » Pote n'est pas de prouver que le TPMS est écoutable — c'est connu — mais de construire une chaîne complète et reproductible, de la capture du signal jusqu'à une interface de supervision en temps réel, le tout avec du matériel grand public et du code publié en open source dans le dépôt tyrepr1ntz.

Étape 1 — un réseau de capteurs distribués

Plutôt qu'un unique récepteur, le projet déploie des nœuds ESP32-CAM couplés à des modules radio CC1101. Chaque nœud écoute les trames TPMS dans sa zone et les expose via un point d'accès HTTP au format JSON. Multipliés autour d'un site ou le long d'un trajet, ces nœuds bon marché forment une grille de couverture : un véhicule traversant la zone est vu successivement par plusieurs récepteurs, ce qui permet de reconstituer sa trajectoire.

Étape 2 — l'agrégateur et la base d'historique

Au centre, un agrégateur Flask + Socket.IO collecte les détections de tous les nœuds, les horodate, les enregistre dans une base SQLite et les diffuse en direct vers une interface web. On obtient un journal interrogeable : tel identifiant a été vu à tel endroit, à telle heure, avec quelle pression et quelle température. C'est précisément ce qui fait basculer une simple écoute radio en système de surveillance.

# Lancement de la chaîne en mode simulé (extrait du dépôt tyrepr1ntz) python3 -m venv .venv && source .venv/bin/activate pip install -r requirements.txt # Terminal 1 : agrégateur (collecte + interface web temps réel) python -m src.aggregator.aggregator # Terminal 2 : émulateur de capteurs (démo sans véhicule) python -m src.emulator.esp32_emulator # Interface live : http://localhost:5000/

Étape 3 — enrôlement, étiquetage et empreintes

Le dépôt embarque un jeu de données de plages d'identifiants OEM et de métadonnées de modèles de pneus. L'idée : associer un identifiant capté à un constructeur ou à un type de capteur, et distinguer les véhicules « connus » (enrôlés volontairement) des inconnus. C'est la brique qui transforme une liste d'identifiants bruts en information exploitable — reconnaître « le véhicule de l'utilisateur » par opposition à « un véhicule étranger qui vient d'entrer dans le périmètre ».

Étape 4 — capture, rejeu et usurpation par SDR

Au-delà de l'écoute, le projet inclut des utilitaires SDR pour la capture puis le rejeu de trames (avec rtl_sdr et hackrf_transfer) et la fabrication de trames usurpées — construction d'une rafale de bits OOK puis émission via HackRF. C'est le volet « Remote Shenanigans » du titre : injecter de fausses lectures pour déclencher à distance un voyant de pression au tableau de bord d'un véhicule cible.

Garde-fou éthique du projet — le dépôt insiste explicitement : les démonstrations actives (rejeu, usurpation) ne doivent s'effectuer que dans un environnement RF blindé — charge fictive ou cage de Faraday — et uniquement sur des équipements possédés ou consentants. L'écoute passive et l'émission active relèvent par ailleurs de cadres juridiques très différents, point sur lequel nous revenons en conclusion.

Pourquoi ce signal est un problème de vie privée

Le cœur du problème tient en une phrase : l'identifiant TPMS est un pseudonyme persistant et public. Contrairement à une adresse MAC Wi-Fi moderne, qui se randomise pour précisément éviter le pistage, l'ID d'un capteur TPMS ne change jamais. Il accompagne le véhicule pendant toute la durée de vie du capteur, soit plusieurs années.

La recherche académique fondatrice de 2010 (Rouf et al.) avait établi les propriétés qui rendent ce pistage praticable : écoute possible à environ 40 mètres d'un véhicule en mouvement, identifiants statiques de 32 bits, déclenchement à distance, et absence totale d'authentification ou de validation d'entrée. Le travail de scp Pote montre que, quinze ans plus tard, ces propriétés se traduisent désormais en une plateforme prête à l'emploi.

Les conséquences concrètes :

  • Pistage par points de passage. Un réseau de récepteurs bon marché placés aux entrées, intersections ou parkings stratégiques fonctionne comme un système de lecture de plaques (LAPI/ANPR) — mais sans caméra, sans plaque visible, et beaucoup plus discret.
  • Détection de présence et de routines. Corréler un identifiant dans le temps révèle les habitudes : quand un véhicule arrive, repart, est absent. Utile pour de la reconnaissance avant un cambriolage, ou pour surveiller une cible.
  • Inférence sur le véhicule. Les valeurs de pression et de température peuvent suggérer le type de véhicule ou une charge inhabituelle.
  • Faible coût, forte déniabilité. Le matériel coûte quelques dizaines de dollars, le logiciel est public, et l'écoute ne laisse aucune trace côté cible.

Ce que la collecte exige en pratique

Il faut calibrer la difficulté réelle. Ce n'est pas une attaque triviale pour un passant, mais elle est parfaitement à la portée d'un amateur éclairé en radio :

  1. Un récepteur SDR : une clé RTL-SDR à 25–40 $ suffit pour l'écoute, avec le décodeur libre rtl_433 qui contient déjà des décodeurs TPMS pour de nombreux constructeurs.
  2. Une antenne adaptée à 315 ou 433 MHz selon la région ciblée.
  3. Des nœuds distribués (ESP32 + CC1101) pour couvrir une zone plutôt qu'un point unique.
  4. Le logiciel d'agrégation, publié en open source, pour journaliser et corréler.
  5. Pour le volet actif (rejeu / usurpation), un HackRF (~150–300 $) — strictement en environnement blindé.

Le double usage : détecter une intrusion plutôt que pister

La grande finesse de la recherche est de retourner la capacité. La même chaîne technique qui sert à pister des inconnus sert, en miroir, à protéger un site : c'est le volet « Perimeter Intrusion Detection » du projet.

Le principe : on enrôle les identifiants des véhicules autorisés (les siens, ceux du personnel, des livreurs réguliers). Le réseau de nœuds surveille en permanence le périmètre. Dès qu'un identifiant inconnu apparaît dans la zone, le système lève une alerte — sans caméra, sans barrière, et même de nuit ou par mauvaise visibilité. Pour un site sensible, une résidence isolée ou une infrastructure critique, c'est un capteur de présence passif, complémentaire des moyens classiques, et particulièrement adapté à des environnements où l'installation de caméras est coûteuse ou peu fiable.

La leçon de conception — la même propriété physique (un identifiant radio public et permanent) est à la fois la vulnérabilité de vie privée et la ressource défensive. Ce n'est pas la technique qui est « bonne » ou « mauvaise », c'est le cadre — juridique, contractuel, éthique — qui décide de son usage. D'où l'importance d'une gouvernance explicite.

Les contre-mesures qui auraient dû exister

Côté constructeur de capteurs

  • Identifiants tournants / pseudonymes : faire évoluer l'ID dans le temps, comme la randomisation d'adresse MAC, pour casser la corrélation longue durée.
  • Chiffrement et authentification de trame : empêcher la lecture en clair et le rejeu — au prix d'un budget énergétique et matériel plus élevé sur un capteur alimenté par pile.
  • Émission déclenchée plutôt que continue : privilégier le réveil LF 125 kHz (high-line) à l'émission périodique permanente, et limiter la puissance d'émission au strict nécessaire.

Côté norme et réglementation

  • Intégrer la vie privée radio dans l'homologation : la conformité de transmission ne dit rien de la traçabilité. La résistance au pistage devrait figurer dans les critères d'évaluation des équipements radio.
  • Cadre RED / EN 18031 : en Europe, le règlement délégué (UE) 2022/30 active l'article 3.3(e) de la directive RED (protection de la vie privée et des données personnelles), décliné dans la norme EN 18031-2. Un équipement radio diffusant un identifiant traçable en clair entre directement dans ce périmètre.

Un enjeu de gouvernance : sécurité et vie privée par conception

Le cas TPMS est presque un cas d'école. Un dispositif rendu obligatoire par une loi de sécurité a été conçu sans la moindre considération pour la vie privée — et l'avertissement de la recherche académique, vieux de quinze ans, n'a pratiquement pas été suivi d'effet sur le parc déployé. La sécurité fonctionnelle (alerter le conducteur d'une perte de pression) a été traitée comme l'unique exigence ; la sécurité informationnelle et la protection de la vie privée comme des non-sujets.

C'est exactement la logique que les cadres récents tentent d'inverser. Le Cyber Resilience Act européen impose la sécurité dès la conception et par défaut pour les produits comportant des éléments numériques ; la directive RED, via son règlement délégué, ajoute des exigences essentielles de cybersécurité, de protection de la vie privée et de lutte contre la fraude pour les équipements radio. Un capteur TPMS de nouvelle génération mis sur le marché européen devrait, en bonne logique, démontrer qu'il ne permet pas le pistage trivial de son porteur.

Mais ces cadres sont européens. Ils ne s'appliquent pas directement en Afrique subsaharienne, au Maghreb ou au Moyen-Orient — et le parc y est largement importé, d'occasion, sans aucun audit. La responsabilité de poser ces exigences se déplace alors vers d'autres acteurs : régulateurs nationaux, organismes d'homologation, acheteurs publics.

Focus Afrique — un parc importé, traçable, hors radar réglementaire

Le parc automobile d'une grande partie de l'Afrique subsaharienne est massivement constitué de véhicules d'occasion importés d'Europe, du Japon et d'Amérique du Nord. Chacun arrive avec ses capteurs TPMS d'origine — un mélange de bandes 315 et 433 MHz — qui continuent de diffuser leurs identifiants uniques, exactement comme dans leur pays d'origine. Le marché du remplacement et du retrofit de capteurs y croît par ailleurs, sans aucune exigence de protection de la vie privée à l'achat.

Le risque est concret : déployer une infrastructure de pistage de véhicules à bas coût et difficilement détectable ne demande qu'un récepteur SDR et un logiciel libre. Pour des cibles à forte valeur — responsables publics, journalistes, acteurs de la société civile, convois logistiques — cela constitue un moyen de surveillance discret, déniable, et indépendant des caméras de voirie.

Pour les autorités de régulation des communications électroniques du continent — ARCEP, ANRT, ARTP, NCA et leurs homologues — qui intègrent progressivement des volets cybersécurité dans leurs procédures d'homologation, le TPMS est un argument concret pour étendre l'évaluation au-delà de la seule conformité de transmission. La traçabilité radio et la protection de la vie privée du porteur d'un équipement devraient figurer explicitement dans les grilles d'homologation. C'est aussi un enjeu de souveraineté numérique : un parc d'équipements traçables, importés et jamais audités localement, est une surface de surveillance qui échappe au contrôle national.

Ce que les organisations et les régulateurs doivent retenir

La recherche de Stephen « scp » Pote pose des questions pratiques immédiates :

  • Les véhicules sensibles de l'organisation diffusent-ils des identifiants TPMS statiques et facilement captables ?
  • Un site critique pourrait-il tirer parti de la détection d'intrusion par TPMS comme couche de sécurité complémentaire — en maîtrisant le cadre juridique ?
  • Les procédures d'homologation nationales évaluent-elles la traçabilité radio et la vie privée, ou seulement la conformité de transmission ?
  • Les capteurs TPMS de remplacement importés font-ils l'objet d'une exigence quelconque de protection de la vie privée ?
  • Existe-t-il une cartographie des risques de surveillance radio pour les profils exposés (dirigeants, convois, missions) ?
Pour les régulateurs et homologateurs — ce type de recherche plaide pour l'intégration d'exigences de vie privée radio dans l'homologation des équipements émetteurs. La conformité aux normes de transmission est nécessaire mais insuffisante. La résistance au pistage par identifiant persistant — via rotation d'identifiant, chiffrement, ou limitation d'émission — devrait faire partie des critères d'évaluation, qu'il s'agisse d'un marché européen, africain ou autre.

Conclusion

Deux principes énoncés par Denis Laskov en relayant cette recherche méritent d'être retenus. Le premier est juridique : avant toute collecte de ce type, vérifier auprès d'un conseil que la démarche est autorisée dans votre pays. L'écoute de signaux radio, leur enregistrement et le rejeu actif relèvent de régimes juridiques distincts et souvent stricts. Le second est imagé : « si vous laissez vos jouets dans l'allée, ils finiront écrasés » — autrement dit, un signal radio diffusé sans protection finira capté et exploité, que ce soit par un chercheur bienveillant ou par un acteur hostile.

Le TPMS illustre une tension récurrente des objets connectés et des équipements radio : une fonction de sécurité conçue dans les années 2000 est devenue, par défaut de conception, une responsabilité de vie privée à l'échelle de tout un parc automobile. La technique de scp Pote ne crée pas le problème ; elle le rend visible, reproductible et — c'est tout son mérite — détournable à des fins défensives.

Dans la sécurité des équipements radio, la question n'est jamais seulement « le signal fonctionne-t-il ? », mais aussi « qui d'autre l'écoute, et que révèle-t-il ? ».

Tant que les capteurs continueront de crier leur identité en clair dans l'air, la réponse restera : à peu près n'importe qui muni d'une clé radio à 30 dollars.

Sources & références

  1. Denis Laskov (@it4sec) — Eye on Cyber : veille sur la recherche TPMS de scp Pote Substack · 11 juin 2026 — présentation et mise en contexte de la recherche, avec les deux mises en garde (légalité de la collecte ; « toys in the driveway »).
  2. Stephen « scp » Pote — « Rolling Recon && Tire Prints » (présentation vidéo) YouTube — démonstration complète : détection périmétrique par TPMS, rejeu et usurpation RF.
  3. Stephen « scp » Pote — tyrepr1ntz : outils & preuve de concept GitHub — code de l'agrégateur Flask/Socket.IO, firmware ESP32-CAM + CC1101, utilitaires SDR (RTL-SDR / HackRF), émulateur et notes de sécurité (SAFETY.md).
  4. Rouf et al. — « Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study » 19th USENIX Security Symposium, 2010 — référence académique fondatrice : écoute à ~40 m, identifiants statiques 32 bits, absence d'authentification, pistage de véhicules.
  5. rtl_433 — décodeur RF générique (décodeurs TPMS inclus) GitHub · merbanan/rtl_433 — décodage des trames TPMS de nombreux constructeurs à partir d'un RTL-SDR.
  6. Règlement délégué (UE) 2022/30 — exigences essentielles de l'article 3.3 RED EUR-Lex — active la cybersécurité, la protection de la vie privée et des données personnelles (art. 3.3(e)) et la lutte contre la fraude pour les équipements radio ; déclinées dans la série EN 18031.
#TPMS #SDR #RadioSecurity #AutomotiveSecurity #VehicleTracking #Privacy #HackRF #RTLSDR #IoTSecurity #REDDirective #SécuritéRadio #SouveraineteNumerique
Échangeons sur la sécurité des équipements radio & embarqués Analyse de vulnérabilités radio, évaluation de la traçabilité d'un équipement, homologation d'équipements connectés, conformité CRA / RED / ETSI, détection RF défensive.
← Retour au portfolio Me contacter →