Le piratage des ceintures de chasteté Cellmate de la société chinoise Qiui en janvier dernier a révélé qu'en dehors des appareils IdO traditionnels, les pirates s'intéressaient désormais aussi à ce type de dispositifs connectés à Internet. Mais, alors que la pandémie du Covid-19 a requis la mesure de la distanciation sociale, elle aurait, dans le même, fait exploser les ventes de jouets sexuels intelligents (connectés). Un récent rapport de la société d'antivirus ESET a révélé que les jouets sexuels intelligents ont une couche de sécurité "fragile". Plus inquiétant encore, les jouets sexuels intelligents les plus populaires seraient ceux qui ont une sécurité "médiocre".Tous les objets ou appareils sont-ils bons à connecter à Internet ?
Ou plutôt, les jouets sexuels devraient-ils être des appareils IdO ? Il y a des pour et des contre, et force est de constater que les jouets sexuels intelligents ont un marché, et les ventes de ses dispositifs seraient en forte croissance. Les jouets sexuels intelligents sont dotés de nombreuses fonctionnalités, notamment : connectivité Internet, télécommande, liaisons Bluetooth, vidéo, messagerie, applications pour mesurer et surveiller les réactions, etc. Cependant, il semble que les jouets sexuels intelligents soient aujourd'hui tout sauf "intelligents en matière de sécurité et de vie privée".
En effet, un livre blanc (The Sex in the Digital Era – How secure are smart sex toys?) publié aujourd'hui par ESET, qui explore la posture de sécurité de ces appareils, a révélé qu'ils renfermaient des vulnérabilités critiques. Le rapport a étudié particulièrement deux produits développés par WOW Tech Group et Lovense, dont les appareils comptent parmi les plus populaires sur le marché. Le premier appareil est "We-Vibe Jive", un vibromasseur féminin compatible Bluetooth qui peut être connecté à l'application mobile "We-Connect" pour contrôler les vibrations et transmettre le contrôle à un partenaire.
Le deuxième produit examiné est le "Lovense Max", un manchon de masturbation pour homme. Il peut lui aussi se connecter à une application mobile appelée Lovense Remote. Cette dernière offre des fonctionnalités telles que "le contrôle local, le contrôle à distance, les vibrations basées sur la musique, la création et le partage de motifs, l'envoi de motifs synchronisant deux jouets ensemble, [et] les vibrations activées par le son". Les chercheurs ont déclaré qu'avant la découverte des failles, ces deux dispositifs étaient malheureusement encore à la traîne en ce qui concerne les mesures de sécurité de base.
Pour le We-Vibe Jive et le Lovense Max, les chercheurs ont examiné la sécurité entre les appareils et les applications. Les deux appareils utilisent les technologies Bluetooth Low Energy (BLE), qui, bien qu'utiles pour maintenir une faible consommation d'énergie, ne sont pas nécessairement très sécurisées. Le We-Vibe Jive réduit au minimum la collecte de données sur l'utilisateur, mais utilise la moins sûre des options d'appairage BLE. En fait, un code temporaire utilisé pour connecter le We-Vibe Jive à l'application We-Connect est réglé sur zéro.
Par conséquent, l'appareil était exposé à des attaques de type "Man-in-The-Middle" (MitM), dans lesquelles n'importe quel smartphone ou PC non authentifié pouvait se connecter à un appareil physique. Comme il s'agit d'un produit portable, il est possible que les utilisateurs le portent pendant qu'ils se promènent. Ainsi, les chercheurs ont constaté que le We-Vibe Jive partageait "continuellement" sa position pour tenter d'établir une connexion. « N'importe qui peut utiliser un simple scanner Bluetooth pour trouver tout appareil de ce type à proximité », ont indiqué les chercheurs.
« We-Vibe Jive a été conçu pour que l'utilisateur puisse le porter tout au long de sa journée, dans des restaurants, des fêtes, des hôtels ou tout autre lieu public. Dans ces situations, un attaquant pourrait identifier l'appareil et utiliser la puissance du signal de l'appareil comme une boussole pour le guider et se rapprocher petit à petit jusqu'à trouver la personne exacte qui le porte ».
Les pirates pourraient accéder au contenu intime partagé par les utilisateurs
Les utilisateurs peuvent partager des fichiers multimédias via We-Connect pendant les sessions de chat. Cependant, les chercheurs d'ESET ont noté que, bien que ces données soient supprimées dès la fin de la discussion, les métadonnées restent. Autrement dit, chaque fois qu'un fichier est envoyé, les données de l'appareil de l'utilisateur et sa géolocalisation ne disparaissent pas. Par ailleurs, les chercheurs ont déclaré que l'absence de protection contre les attaques par force brute lors des tentatives d'accès au code PIN des applications constitue un autre problème de confidentialité.
Le rapport révèle que le Lovense Max contenait un certain nombre de choix de conception "controversés" qui pourraient compromettre la confidentialité des images intimes qu'un utilisateur partage avec un autre. Parmi ces choix, citons l'option permettant de télécharger et de transmettre des images à des tiers à l'insu ou sans le consentement du propriétaire d'origine, et le recours au seul HTTPS et non au chiffrement de bout en bout pour les transferts d'images. En outre, alors que les utilisateurs créent souvent des noms fantaisistes, l'application "Lovense Max" utilisait leur adresse électronique, stockée en clair.
Plus loin, les chercheurs ont également remarqué que les jetons, qui peuvent être partagés publiquement, ont également été générés à l'aide de quelques chiffres et sont restés actifs plus longtemps que prévu. Ils pouvaient donc être exposés à des attaques par force brute entraînant la divulgation d'informations. De plus, Lovense Max n'authentifiait pas non plus les connexions BLE et était donc vulnérable aux mêmes attaques MiTM que We-Vibe Jive. Quelques autres vulnérabilités moins critiques ont également été citées pour les deux appareils.
« Les conséquences des violations de données pouvant survenir dans cette sphère peuvent être particulièrement désastreuses lorsque les informations divulguées concernent l'orientation sexuelle, les comportements sexuels et les photos intimes », ont déclaré les chercheurs d'ESET. « À mesure que le marché des jouets sexuels intelligents progresse, les fabricants doivent garder la cybersécurité en tête des préoccupations, car tout le monde a le droit d'utiliser une technologie sûre et sécurisée », ont-ils ajouté. ESET a divulgué les vulnérabilités à WOW Tech Group et Lovense en juin 2020.
Le rapport indique que les problèmes de sécurité ont été reconnus dans les semaines qui ont suivi. Il indique également que Lovense a corrigé tous les bogues signalés le 27 juillet, tandis que la version 4.4.1 de We-Connect, publiée en août, a résolu les problèmes de PIN et de métadonnées. Lovense travaillerait actuellement pour améliorer les fonctions de confidentialité. « Nous prenons très au sérieux les rapports et les conclusions de sources externes concernant d'éventuelles vulnérabilités », a déclaré WOW Tech Group dans un communiqué. Le rapport n'a pas précisé si les vulnérabilités avaient été exploitées.
« Nous avons eu l'occasion de corriger les vulnérabilités avant la présentation et la publication de ce rapport et nous avons depuis mis à jour l'application We-Connect pour corriger les problèmes qui sont décrits dans ce rapport », a-t-il ajouté. « Plaçant la santé et la sécurité de nos utilisateurs au premier plan, Lovense travaille sans relâche pour améliorer la cybersécurité de ses produits et solutions logicielles. Grâce à une coopération productive avec ESET Research Lab, nous avons pu détecter certaines vulnérabilités qui ont été éliminées avec succès. Lovense continuera à coopérer avec les testeurs de cybersécurité afin de garantir une sécurité maximale à tous les utilisateurs des produits Lovense », a commenté Lovense.
Source : Livre blanc d'ESET
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des jouets sexuels connectés à Internet ? Pensez-vous que ce type de dispositifs doivent être connectés à Internet ? Pourquoi ?Voir aussi
Cellmate, un dispositif de chasteté masculine "intelligent", présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent, selon Pen Test Partners Un pirate prend le contrôle de plusieurs ceintures de chasteté Cellmate, les verrouille et demande le paiement d'une rançon. Des chercheurs avaient découvert l'existence d'une faille en octobre Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS, en utilisant l'outil dédié LizardStresser Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable 
