La société américaine SVAKOM aurait volontairement introduit des failles de sécurité dans ses sex-toys connectésD'après des tests de la firme de sécurité PenTestPartners
Les objets connectés, c’est connu, posent d’énormes problèmes de sécurité. Des problèmes, il y en a tellement dans l’industrie de l’IdO (internet des objets) que des fleurons de l’industrie high-tech y voient une véritable niche et proposent des solutions. Ainsi, un fabricant d’équipements connectés dispose actuellement d’un éventail de solutions de sécurisation non négligeable. Il devrait en principe en tirer profit pour permettre à ses clients de profiter en toute « intimité » de leur acquisition. Il semblerait pourtant, d’après des révélations de la firme de sécurité PenTestPartners (PTP), que ce ne soit pas le cas de la société américaine SVAKOM.
PTP a partagé ses trouvailles sur ce cas, et il en ressort que les sex-toys connectés de SVAKOM, les Svakom Siime Eye plus précisément, seraient plutôt des portes ouvertes sur l’intimité de ses clients. Ces sex-toys sont en effet dotés de caméras et de points d’accès (AP) auxquels PTP a pu se connecter plus ou moins aisément.
La première découverte frappante de PTP a été de constater que le constructeur n’aurait pas le contrôle total de l’application destinée à être utilisée en conjonction avec le vibromasseur. Un coup d’œil à l’ossature de l’application présentée ci-dessous a permis à l’équipe PTP d’arriver à cette conclusion.
La présence du fichier source com.Skyviper suffisait déjà à établir le lien avec le constructeur de drones Skyviper qui aurait dégagé sa responsabilité, la renvoyant plutôt à des développeurs qui auraient travaillé pour les deux entreprises.
Une investigation plus poussée, cette fois dans le fichier source com.SiimeEye a permis à PTP de mettre à nu une autre faille importante. Dans un scénario d’utilisation normale, un utilisateur se servirait d’une application Android ou iOS pour se connecter au point d’accès du vibromasseur. Il entrerait alors les identifiants SSID : Siime Eye et mot de passe par défaut : 88888888. Seulement, un autre moyen d’accès aurait été réservé dans le fichier source com.SiimeEye.
La lecture du code suggère qu’un tiers, via une interface web, pourrait se servir de la combinaison adresse IP:numéro de port 192.168.1.1:80 pour accéder à l’AP du vibromasseur, ce, en entrant les identifiants admin:[blank]. PTP affirme avoir procédé ainsi et réussi à accéder à l’AP. Il y a même plus grave d’après PTP, c’est que l'utilisateur X, n'ayant pas connaissance de ce mode d'accès alternatif ne pourra s'en prémunir. Comble de l’histoire, celui qui a accès à l’AP, dispose de toutes les ressources accessibles via l’application. Imaginez donc le type de média entre les mains d’un tiers, suivez notre regard.
Du fait de l’intégration au vibromasseur d’une fonctionnalité point d’accès, l’équipe PTP a réussi d’autres prouesses comme celle de géolocaliser des possesseurs de cet appareil. Elle a également révélé d’autres fonctionnalités cachées comme la possibilité pour un tiers d’avoir accès à la caméra de l’appareil via Skype.
Des constats qui, comme l’a fait l’équipe PTP, amènent à se poser des questions fondamentales :
- est-ce vraiment utile de doter un vibromasseur d’un point d’accès ?
- le vibromasseur en question devrait-il être muni d’une caméra ?
- est-ce sérieux pour des constructeurs d’intégrer des fonctionnalités d’accès à la caméra via Skype ?
Voilà une liste d’interrogations qui pourraient bien jaillir sur un autre scandale comme ça avait été le cas dans l’affaire WeVibe. Le constructeur avait été condamné pour collecte des données des utilisateurs de son sex-toy. PTP affirme avoir contacté SVAKOM qui jusqu'ici n'a pas réagi.
Sources : PTP
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question Après les Botnets, les ThingBots ? Proofpoint découvre une cyberattaque basée sur l'Internet des objets
Vous avez lu gratuitement 638 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Patrick Ruiz
