Version française en bas
English Version
Vehicle thefts - Insecure vehicles should be banned, not security tools like the Flipper Zero
Vehicle theft is an issue that affects us all collectively. As cybersecurity and technology professionals, we recognize the importance of acting rapidly to reduce its impact on Canadians. That being said, we believe the federal government’s proposal, particularly the prohibition of security research tools, is ill-advised, overbroad and most importantly, will be counterproductive.
Innovation, Science and Economic Development Canada (ISED) will pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.
We believe this policy will not work because it rests on a misunderstanding of the underlying technology
This policy is based on outdated and misinformed technological assumptions, making it unfeasible to implement and enforce. Security tools like Flipper Zero are essentially programmable radios, known as Software Defined Radios (SDRs), a technology which has existed for years, and in some cases can be built using open-source or simple over-the-shelf-components. These radios are also fundamentally the same as those used in numerous devices across various sectors, including smart household appliances, drones and aerospace technologies, mobile phones and networks, as well as industrial control systems. Consequently, prohibiting such functionality is virtually impossible and could stifle the Canadian economy significantly.
We believe this policy will degrade national security, by incentivizing manufacturers to design insecure products, as security research is criminalized and right-to-repair is penalized
This policy fails to recognize that these tools are not the enemy, rather, insecure products are. Unlike decades ago when the industry relied on security through obscurity as a strategy, we now can attest that the democratization of security research tools is a balancing force for manufacturers to improve the safety of their products. Today, many industry actors rely on such research, just like we have Federal & Provincial1 government programs that support & reward security vulnerability disclosure that benefits us all. Implementing such a policy would have a chilling effect on these efforts, potentially undermining their positive impact on society.
Additionally, with bills such as C-244 (Right to Repair), that recently passed unanimously and C-294 (Interoperability) that gathered support from multiple parties, we believe this overbroad policy will penalize legitimate analysis and repair use-cases, that were just made available to canadians.
Finally, we believe this policy represents a waste of judiciary resources that could be better used to collaborate with experts from the cybersecurity industry to identify ways to prevent and deter such crimes
Because of the arbitrary nature of such a policy, we believe the judiciary system will be faced with a slew of litigious cases around the many uses of these security tools. Instead, these resources could be focused on creating constructive communication channels between cybersecurity experts, car manufacturers, insurers, and the judiciary system to identify ways to improve the security of automotive keyless entry and push-to-start systems, and enforce minimal levels of security for future products, as it is the case in other industries.
English version above
Version française
Trouver et contacter votre député
Vols de véhicules - Les véhicules non sécurisés devraient être interdits, pas les outils de sécurité comme le Flipper Zero
Le vol de véhicules est un problème qui nous affecte tous collectivement. En tant que professionnels de la cybersécurité et de la technologie, nous reconnaissons l’importance d’agir rapidement pour réduire son impact sur les Canadiens. Cela étant dit, nous croyons que la proposition du gouvernement fédéral, en particulier l’interdiction des outils de recherche en sécurité, est malavisée, trop générale et surtout, contre-productive.
ISDE examinera toutes les possibilités pour interdire les dispositifs utilisés pour voler des véhicules en copiant les signaux sans fil du système de télédéverrouillage, tels que le Flipper Zero, ce qui permettrait de retirer ces dispositifs du marché canadien, en collaboration avec les organismes chargés de l’application de la loi.
Nous croyons que cette politique ne fonctionnera pas car elle repose sur une incompréhension de la technologie sous-jacente
Cette politique est basée sur des hypothèses technologiques obsolètes et mal informées, rendant son application et son exécution irréalisables. Les outils de sécurité comme le Flipper Zero sont essentiellement des radios programmables, connues sous le nom de Radios Définies par Logiciel, ou Software Defined Radios en anglais, (SDR), une technologie qui existe depuis des années et qui, dans certains cas, peut être construite en utilisant des composants open-source ou simples disponibles dans le commerce. Ces radios sont également fondamentalement les mêmes que celles utilisées dans de nombreux appareils à travers divers secteurs, y compris les appareils ménagers intelligents, les drones et les technologies aérospatiales, les téléphones mobiles et les réseaux, ainsi que les systèmes de contrôle industriel. Par conséquent, interdire une telle fonctionnalité est pratiquement impossible et pourrait étouffer considérablement l’économie canadienne.
Nous croyons que cette politique va dégrader la sécurité nationale, en incitant les fabricants à concevoir des produits non sécurisés, car la recherche en sécurité sera criminalisée et le droit de réparer pénalisé
Cette politique échoue à reconnaître que ces outils ne sont pas l’ennemi, mais plutôt que les produits non sécurisés le sont. Contrairement à il y a des décennies, où l’industrie s’appuyait sur la sécurité par l’obscurité comme stratégie, nous pouvons maintenant attester que la démocratisation des outils de recherche en sécurité est une force d’équilibre pour les fabricants pour améliorer la sécurité de leurs produits. Aujourd’hui, de nombreux acteurs de l’industrie s’appuient sur une telle recherche, tout comme nous avons des programmes gouvernementaux Fédéraux et Provinciaux2 qui soutiennent et récompensent la divulgation de vulnérabilités de sécurité qui nous profitent tous. La mise en œuvre d’une telle politique aurait un effet paralysant sur ces efforts, compromettant potentiellement leur impact positif sur la société.
De plus, avec des projets de loi tels que C-244 (Droit à la réparation), qui a récemment été adopté à l’unanimité et C-294 (Interopérabilité) qui a recueilli le soutien de plusieurs partis, nous pensons que cette politique trop générale pénalisera les analyses légitimes et les cas d’utilisation de réparation, qui viennent juste d’être rendus disponibles aux Canadiens.
Enfin, nous croyons que cette politique représente un gaspillage de ressources judiciaires qui pourraient être mieux utilisées pour collaborer avec des experts de l’industrie de la cybersécurité afin d’identifier des moyens de prévenir et de dissuader de tels crimes
En raison de la nature arbitraire d’une telle politique, nous croyons que le système judiciaire sera confronté à une multitude de cas litigieux concernant les nombreuses utilisations de ces outils de sécurité. Au lieu de cela, ces ressources pourraient être concentrées sur la création de canaux de communication constructifs entre les experts en cybersécurité, les fabricants de voitures, les assureurs et le système judiciaire pour identifier des moyens d’améliorer la sécurité des systèmes d’entrée sans clé et de démarrage par bouton-poussoir des automobiles, et imposer des niveaux de sécurité minimaux pour les futurs produits, comme c’est le cas dans d’autres industries.
Signatures
If you agree with this letter, please sign it and share it. Signatures are added to the site roughly once a day, manually.
Si vous êtes d’accord avec cette lettre, veuillez la signer et la partager. Les signatures sont ajoutées au site manuellement, environ une fois par jour.
| Name/Nom | Title/Titre |
|---|---|
| Guillaume Ross | Deputy CISO, JupiterOne |
| Pierre-David Oriol | Cybersecurity Product Executive |
| Gabriel Tremblay | Cybersecurity CEO |
| Nelson Lamoureux | School principal & CISO CSSMCN |
| Axel Schulz | Director Cybersecurity Operations |
| Émilio Gonzalez | Cybersecurity Professional |
| Simon Carpentier | Information Security Principal @ Desjardins |
| Dr. Alexander Dean Cybulski | Security Awareness Professional - Utilities Sector |
| Patrick Mathieu | President, Hackfest Communication |
| Nicholas Romyn | Security Architect |
| Sivathmican Sivakumaran | |
| Mike Lizotte | Offensive Security Consultant |
| Laurent Chouinard | |
| dystopie | |
| Eric Hogue | |
| James Arlen | |
| Fernando Montenegro | Cybersecurity Industry Analyst |
| Jean-Sébastien Delorme | NorthSec - VP Training |
| Adam Anklewicz | Manager, IT Endpoint Engineering |
| Tim Fitzgerald | Manager of IT Systems |
| Sean | |
| Charles Ferguson | |
| Rahul | |
| Nathan Beranger | Sr. IT Professional |
| Guillaume Morissette | Guillaume Morissette |
| Philippe M. | Technical Solutions Architect |
| Sylvain P | |
| Pierrick Vittet | Analyste en cybersécurité |
| TUX | |
| Laurent Desaulniers | |
| Mat X | |
| Brad Clare | IT Consultant |
| Garth Boyd | Security Architect |
| Serge-Olivier Paquette | Director of Innovation |
| Dmitriy Beryoza | Senior Security Researcher |
| Simon Nolet | Testeur d’intrusion transversaux |
| Colin Stéphenne | Cybersecurity specialist |
| Pavel Sushko | Chief Executive Officer |
| Mandeep | |
| Felipe Sáez | Security Engineer |
| Clayton Smith | Security researcher |
| salt | Analyste en sécurité informatique |
| Simon Décosse | Team Lead Ethical Hacker |
| Eric Beaurivage | Administrateur de systèmes et réseaux |
| Alexandre Côté | Security Researcher |
| Michael Jeanson | |
| Lex Gill | Avocate |
| Etienne Prud’homme | |
| Eric Hebert | Information Security Professional |
| Patricia Gagnon-Renaud | Cybersecurity Analyst |
| Antoine Gauthier-Drapeau | Analyste en cybersécurité |
| Sébastien Duquette | Director of Software Development, ex-Application Security Lead @ Devolutions |
| Cyndie Feltz | Co-founder |
| Jacob Diamond | Pentester |
| Mark Cohen | CIO |
| Adrian Christie | |
| Francis Coats | Expert en sécurité |
| Louis Nadeau | |
| Martin D | |
| Maxime Paradis | Analyste Technique |
| Régis Belarbi | |
| Simon Loiselle | Lead security advisor |
| Simon Charest | Senior Software Developer and CEO at SLCIT |
| Andrew Bellini | Author of Beginner’s Guide to IoT and Hardware Hacking |
| V Daniel | Account executive |
| Eric C. | |
| Alex Kozin | |
| Alexandre Blanc | strategical and security advisor |
| Free Spirit | Bitcoin miner |
| Felix Doyon | DevOps Engineer |
| Alec Barea | Global information security director |
| Vaidotas Brazauskas | |
| Tom Ewan | |
| Alexis D. | |
| Eugene Grant | Security Principal TEC Ops |
| Mitch M | |
| Denis Lessard | |
| David Guerin | |
| Pier-Luc Moisan | |
| Lee Brotherston | Infosec Rando |
| Étienne Lévesque | Développeur web |
| Gaspar-Sec | CyberSecurity Analyst |
| Jean-François | |
| Kenneth Gallagher | |
| Bruno Morel | |
| Cid Summers | |
| Reda Baydoun | Sr. Principal Software Dev., CISSP |
| Marc-Antoine Chabot | Technology expert, ECCC |
| Sergey Faleev | Senior IT manager |
| Neumann lim | |
| Marc-Etienne M.Léveillé | Chercheur en logiciels malveillants |
| Olivier Bilodeau | Président de NorthSec et Directeur de la recherche en cybersécurité chez GoSecure |
| Benjamin Courchesne | |
| Alexandre Larocque, P.Eng. | CEO @ Ardent Security |
| Samuel A. | Application Security Analyst I |
| Frédéric Fortin | Président, iconnek.io |
| Marc Ouellet | |
| J. Fournier | |
| Auré | Serrurière |
| Ben Renaud | Director, Cybersecurity, PetalMD |
| Vincent Le Hémonet | Consultant sécurité réseau |
| C G | Cybersecurity specialist |
| Mathieu Hetu | CEO - MH Service Technologies |
| Maxim Chartrand | Chef d’entreprise, GTI Télécoms |
| Maxime Labrecque-Raymond | Conseiller en cybersecurité |
| Cedric Thibault | Partner & CTO |
| Max Wot | |
| Jean Rho | Integrateur, système de sécurité |
| Jean-Michel V | |
| Charles-Etienne Crevier | |
| Steve Waterhouse | Professionnel en Sécurité de l’Information |
| Fabrice Delor | Cybersecurity Architect |
| Vincent lambert | |
| Molon Labe | |
| Gabriel Longpré | Analyste Sécurité & Réseau |
| Marvens Decayette | Security analyst |
| Werner Burat | Technical Solutions Consultant |
| Flaster Jedd | Offensive security consultant |
| Nicholas Milot | Co-Founder @Yack |
| Bernard Bolduc | Conseiller en Cyber Sécurité |
| Caido | Co-fondateur |
| Marc-André Dumont | Cybersecurity Team Lead |
| Philippe L | Cybersécurité opérationnelle |
| Philippe Hamel | |
| Pascal Fortin | PDG - Cybereco |
| Guillaume Raymond | |
| Patrick Davidson Tremblay | Directeur, Sécurité offensive, Simulation d’adversaires |
| Steve Lavoie | Directeur TI, CISSP |
| Stephane Pelletier | Application Security Analyst |
| Émilien Pierru | Backend developer |
| Guillaume Nourry-Marquis | Président Commit2Security Inc. |
| Antoine Reversat | |
| Maxime Carbonneau | Cybersecurity Professional |
| Derek W. | Infosec Dude & Flipper Zero User |
| Marc | |
| Kastelo Caron | |
| Simon Clavet | Programmer |
| Sébastien Graveline | |
| Sébastien Massé-Croteau | |
| Jason M. | Cybersecurity consultant |
| Danny Fullerton | CISO, VP |
| Olivier Dion | |
| Sébastien Huneault | Enseignant en Informatique |
| anarcat | |
| Sonia Fath | |
| Alexandre Boyer | Lead info sec engineer |
| Amandine Gagnon-Hébert | Associate Red Team Consultant - Mandiant, VP Engagement @NorthSec, prévention des méfaits > coercition |
| Justin Brulotte | Senior AI Developper |
| Fred Quenneville | Ethical Hacker |
| Dominique | |
| Trevor hough (loudmouth security) | CSO |
| Martin Léger | Sysadmin |
| Olivier Michaud | Technicien en TI |
| Yvan Beaulieu PhD | Conseiller senior en sécurité de l’information |
| Justin Lavoie | |
| Philippe Panaite | Lead System Administrator |
| Marc | Cybersecurity consultant |
| Mark | |
| Saïd Izawi | Security Solutions Architect |
| Dany Boivin | FlippingForFlipper |
| Jason Keirstead | |
| LG Nobre | Cybersecurity professional |
| Adam Shostack | Author, Threat modeling: Designing for Security |
| Yohannes Aberacht | |
| Marc Lefrancois | Lead Developer |
| Jeremy Aube | |
| Eric M. Gagnon | Chef D’équipe, Simulation d’adversaires |
| Daniel Drouet | Tech investor and entrepreneur |
| Tim Partridge | Senior Security Architect - IBM Canada LTD |
| Oley V | |
| Mathieu Saulnier | |
| Ross Derewianko | Senior Staff Systems Eingeer |
| Alexandre A. | |
| Rob Wood | Founder |
| Anne Katherine | |
| Jason Ernst | Principal Software Engineer, PhD Wireless Mesh Networks |
| Alexandre Guédon | Cybersecurity Professional |
| Tom Gwozdz | |
| Lee Nichols | |
| Will Whittaker | |
| Samer Essa | Information Security Manager |
| Nicholas St-Jacques | Mr. |
| Ty Lamontagne | |
| Zachary M | |
| Mike Clark | |
| jeff woods | VP Software |
| Daniel Lynch | Senior Cyber Security Advisor |
| Trevor Orsztynowicz | |
| Eric | |
| Cody Trew | |
| Kole Barnes | |
| Christopher Reid | |
| William Bergmann Børresen | William Bergmann Børresen |
| Ssmidge | |
| Philippe Dépelteau | IT & Cybersecurity Director |
| Orin Johnson | |
| Bort | Cybersecurity Analyst |
| Christophe Langlois | |
| Mike K | |
| Katie H. | Senior Cybersecurity Consultant |
| Adam White | |
| Tyler Nicholson | |
| Hugo Genesse | Cybersecurity Researcher, VP-Conference @NorthSec |
| Jamie Bode | |
| Olivier Laflamme | Principal Consultant @RedRainSecurity & Senior Red Team Operator @F500 - CISSP, BSCP, OSCP, CRTO, CRTL, EWPTX, ECPPT |
| Ronan Scott | |
| Tyler Austin | |
| Kevin2600 | |
| Jon alikakos | J@nnny |
| Matt Moore | Mr. |
| Ari | |
| Lukas S. | |
| Andrey Frol | Software Developer |
| Noah Clements | Hacker |
| AnonMan | Web Dev |
| Malvin Din | Service Technician |
| Simon Bouchard | CyberSecurity Analyst |
| Andrew R. | |
| Evan Brundritt | IT Specialist |
| Olivier Caron | Cyber Security Specialist |
| Haram Lee | random 11yro kid who wrote a full essay to Jonathan Wilkinson to save flipper |
| Pat Papineau | |
| Aiden | |
| Andreanne Bergeron | Cybersecurity Researcher |
| Bib | |
| James Renken | Site Reliability Engineer |
| Lucas Kovacs | |
| the hacker | |
| Jesse Poikonen | Mr |
| Kienan S. | |
| Anon | IT Service |
| Francis Ouellet | Jedi Master |
| Amar Juneja | Cybersecurity Consultant |
| Mark Linton | |
| Scott Flowers | |
| Mike Burgener | VP Cybersecurity, Vancity Savings Credit Union |
Provincial examples: Quebec’s bug bounty, Alberta’s Vulnerability Reporting Program,British Columbia’s Vulnerability Disclosure Program ↩︎
Exemples provinciaux: Programme de prime aux bogues du Québec, Programme d’avis de vulnérabilités de l’Alberta,Programme d’avis de vulnérabilités de la Colombie-Britannique ↩︎