IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un pirate prend le contrôle de plusieurs ceintures de chasteté Cellmate, les verrouille et demande le paiement d'une rançon.
Des chercheurs avaient découvert l'existence d'une faille en octobre

Le , par Stéphane le calme

325PARTAGES

5  0 
En octobre dernier, Pen Test Partners, une entreprise britannique de sécurité informatique, a découvert une vulnérabilité dans la ceinture de chasteté connectée développée par Cellmate et utilisée par des dizaines de milliers de personnes dans le monde. L’entreprise a déclaré que la faille dans le verrou de chasteté connecté à Internet aurait pu permettre à n’importe qui de verrouiller à distance et de façon permanente l'appareil génital de l'utilisateur, une situation qui peut rapidement devenir critique.

Cellmate est une ceinture masculine de chasteté connectée à Internet conçue par la société chinoise Qiui. Ce serait le tout premier dispositif de chasteté contrôlé par une application au monde. La ceinture de chasteté permet à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.


Tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.

Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing.

Pen Test Partners a déclaré que les conséquences d'une faille de sécurité majeure dans cette ceinture masculine de chasteté qui a gagné en popularité populaire pourraient être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde qui s'en servent. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la ceinture a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle du dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la ceinture.


Puis le scénario catastrophe se réalise

C'est exactement ce qui s'est passé, selon un chercheur en sécurité qui a obtenu des captures d'écran de conversations entre un pirate informatique et plusieurs victimes, et selon des victimes interrogées par des médias américains. Le chercheur en sécurité se fait appeler Smelly et est le fondateur de vx-underground, un site Web qui recueille des échantillons de logiciels malveillants.

Une victime, qui a demandé à être identifiée uniquement comme étant Robert, a déclaré avoir reçu un message d'un pirate informatique demandant un paiement de 0,02 bitcoin (environ 578 € aujourd'hui) pour déverrouiller l'appareil. Il a réalisé que la ceinture était définitivement « verrouillée » et qu'il « ne pouvait pas y accéder ».

« Heureusement que je ne la portais pas lorsque cela s'est produit », a déclaré Robert dans une discussion en ligne.

« Je n'étais plus le propriétaire de la ceinture, donc je n'avais pas le contrôle total sur la ceinture à un moment donné », s'est réjouie une autre victime du nom de RJ. RJ a déclaré avoir reçu un message du pirate informatique, qui a déclaré qu'il contrôlait la ceinture et souhaitait qu'il procède au paiement de la rançon pour la déverrouiller.

Ces piratages servent de piqûre de rappel pour indiquer que ce n'est pas parce que presque tous les appareils peuvent être connectés à Internet qu'ils doivent nécessairement l'être. Les pannes peuvent rendre ces appareils connectés inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut en faire des cibles facilement piratées. Si l’IdO est un jeune domaine avec un grand potentiel, les chercheurs préconisent qu'il y ait une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.

Alex Lomas, chercheur en sécurité chez Pentest Partners, qui a audité le dispositif Cellmate, a confirmé que certains utilisateurs avaient reçu les messages d'extorsion, et a déclaré que cela soulignait la nécessité de meilleures pratiques de sécurité.

« Presque toutes les entreprises et tous les produits vont avoir une sorte de vulnérabilité au cours de leur vie. Peut-être pas aussi grave que celle-ci, mais il y aura forcément quelque chose », a déclaré Lomas. « Il est important que toutes les entreprises disposent d'un moyen pour les chercheurs de les contacter et de rester en contact avec elles ».

Comme d'habitude, il faut faire attention aux appareils auxquels vous confiez vos données ou, dans ce cas, vos parties intimes.

Source : MB

Et vous ?

Que pensez-vous de l'IdO en général ?
Avez-vous des appareils connectés ? Font-ils office de gadget ou vous apportent-ils une utilité réelle ?
Êtes-vous pour ou contre une réglementation de l'IdO qui exigerait par exemple un minimum de sécurité dès lors qu'un outil peut être connecté ?
Si oui, estimez-vous qu'une telle réglementation devrait être appliquée au même niveau à tous les appareils connectés, que le piratage puisse avoir des conséquences plus dramatiques ou non ?

Voir aussi :

Pour une fois, des politiciens arrivent à sortir une loi sur l'IT qui n'est pas insensée le Congrès US adopte une loi qui exige que les dispositifs IdO répondent à certaines normes de sécurité
Microsoft annonce la disponibilité générale d'Azure Sphere, sa solution pour sécuriser l'IdO qui comporte un système d'exploitation basé sur un noyau Linux personnalisé
Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gros_rougeot
Membre actif https://www.developpez.com
Le 12/01/2021 à 8:44
Ne leur reste plus qu'aller voir le mécano du coin pour attaquer le dit objet à la disqueuse.
4  0 
Avatar de pierre-y
Membre expérimenté https://www.developpez.com
Le 12/01/2021 à 9:34
"ceintures de chasteté"

...
Et dire qu'il y a surement des prototypes qui trainent quelque part pour boucher aussi l'anus et la bouche histoire de forcer encore plus sur la connerie humaine et ces produits dérivé. Pour le coup, je trouve ce piratage hilarant. Vue l'engin, ça doit être discret dans le pantalon.
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 12/01/2021 à 11:05
Il faut avouer que l'histoire fait sourire...

Mais quand on prend un peu de recule, il faut reconnaître que:

1. La majorité des applications commercialisées de l'internet des objets concernent des "applications gadget". Cette "ceintures de la chasteté" en est le parfait exemple.

2. Les gens sont prêts à acheté n'importe quoi

3. Il est impossible de faire de l'internet des objets sans risquer le hacking... C'est peut-être pour cela que le marché ne propose que des "applications gadget"
1  0