Cellmate est une ceinture masculine de chasteté connectée à Internet conçue par la société chinoise Qiui. Ce serait le tout premier dispositif de chasteté contrôlé par une application au monde. La ceinture de chasteté permet à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.
Tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.
Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing.
Pen Test Partners a déclaré que les conséquences d'une faille de sécurité majeure dans cette ceinture masculine de chasteté qui a gagné en popularité populaire pourraient être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde qui s'en servent. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la ceinture a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle du dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la ceinture.
Puis le scénario catastrophe se réalise
C'est exactement ce qui s'est passé, selon un chercheur en sécurité qui a obtenu des captures d'écran de conversations entre un pirate informatique et plusieurs victimes, et selon des victimes interrogées par des médias américains. Le chercheur en sécurité se fait appeler Smelly et est le fondateur de vx-underground, un site Web qui recueille des échantillons de logiciels malveillants.
Une victime, qui a demandé à être identifiée uniquement comme étant Robert, a déclaré avoir reçu un message d'un pirate informatique demandant un paiement de 0,02 bitcoin (environ 578 € aujourd'hui) pour déverrouiller l'appareil. Il a réalisé que la ceinture était définitivement « verrouillée » et qu'il « ne pouvait pas y accéder ».
« Heureusement que je ne la portais pas lorsque cela s'est produit », a déclaré Robert dans une discussion en ligne.
« Je n'étais plus le propriétaire de la ceinture, donc je n'avais pas le contrôle total sur la ceinture à un moment donné », s'est réjouie une autre victime du nom de RJ. RJ a déclaré avoir reçu un message du pirate informatique, qui a déclaré qu'il contrôlait la ceinture et souhaitait qu'il procède au paiement de la rançon pour la déverrouiller.
Ces piratages servent de piqûre de rappel pour indiquer que ce n'est pas parce que presque tous les appareils peuvent être connectés à Internet qu'ils doivent nécessairement l'être. Les pannes peuvent rendre ces appareils connectés inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut en faire des cibles facilement piratées. Si l’IdO est un jeune domaine avec un grand potentiel, les chercheurs préconisent qu'il y ait une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.
Alex Lomas, chercheur en sécurité chez Pentest Partners, qui a audité le dispositif Cellmate, a confirmé que certains utilisateurs avaient reçu les messages d'extorsion, et a déclaré que cela soulignait la nécessité de meilleures pratiques de sécurité.
« Presque toutes les entreprises et tous les produits vont avoir une sorte de vulnérabilité au cours de leur vie. Peut-être pas aussi grave que celle-ci, mais il y aura forcément quelque chose », a déclaré Lomas. « Il est important que toutes les entreprises disposent d'un moyen pour les chercheurs de les contacter et de rester en contact avec elles ».
Comme d'habitude, il faut faire attention aux appareils auxquels vous confiez vos données ou, dans ce cas, vos parties intimes.
Source : MB
Et vous ?
Que pensez-vous de l'IdO en général ?
Avez-vous des appareils connectés ? Font-ils office de gadget ou vous apportent-ils une utilité réelle ?
Êtes-vous pour ou contre une réglementation de l'IdO qui exigerait par exemple un minimum de sécurité dès lors qu'un outil peut être connecté ?
Si oui, estimez-vous qu'une telle réglementation devrait être appliquée au même niveau à tous les appareils connectés, que le piratage puisse avoir des conséquences plus dramatiques ou non ?
Voir aussi :
Pour une fois, des politiciens arrivent à sortir une loi sur l'IT qui n'est pas insensée le Congrès US adopte une loi qui exige que les dispositifs IdO répondent à certaines normes de sécurité
Microsoft annonce la disponibilité générale d'Azure Sphere, sa solution pour sécuriser l'IdO qui comporte un système d'exploitation basé sur un noyau Linux personnalisé
Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable