Si vous êtes amateur ou amatrice de sex-toys, réfléchissez à deux fois avant de vous jeter sur un modèle connecté. Ces gadgets du plaisir sont rarement bien sécurisés.
En 2017, la société Pen Tests Partners avait analysé un plug anal Bluetooth sans aucune authentification et ouvert à tous vents. A l’occasion de la conférence 35C3 du Chaos Computer Club, qui vient de se tenir à Leipzig, un chercheur en sécurité de la société SEC Consult a remis le couvert avec l’analyse de Vibratissimo Panty Buster. Il s’agit d’un stimulateur clitoridien qui peut se placer discrètement dans un slip et qui est pilotable à distance par un ami qui vous veut du bien.
Ce contrôle à distance se fait depuis une application mobile, via Bluetooth si l’on est à courte portée, ou par Wi-Fi, si l’on se trouve plus loin. La gamme Vibratissimo contient beaucoup d’autres gadgets dont le fonctionnement technique est similaire et qui s’appuient sur la même application mobile : godemichets, boules de geishas, plugs anaux, anneaux péniens, etc.
Au-delà du contrôle à distance, le produit propose tout un tas de fonctionnalités sociales gérées depuis ses serveurs web comme la messagerie instantanée et le partage d’images. Et c’est là que le chercheur a trouvé le premier très gros problème. En analysant le site web « vibratissimo.com », il tombe sur un fichier qui contient… le login et le mot de passe d’une base de données.
Et en cherchant un peu plus, il a découvert l’existence d’une interface d’administration web de type « phpMyAdmin » de la base en question. Dès lors, il avait accès aux données de tous les utilisateurs, et en particulier leurs mots de passe qui étaient – évidemment – stockés en clair. A partir de là, le chercheur pouvait donc lire les messages et visionner les images de n’importe quel utilisateur de la gamme Vibratissimo. Dans la catégorie « fuite de données personnelles », on ne peut guère faire pire.
Des identifiants faciles à deviner
Mais ce n’est malheureusement pas tout. En analysant l’application mobile, le chercheur a découvert que la fonctionnalité de contrôle à distance ne disposait d’aucune authentification. Pour donner accès à son gadget, l’utilisateur ou l’utilisatrice renseignait l’adresse email ou le numéro de téléphone du partenaire.
Au niveau du système, l’accès se concrétisait par un lien HTML de type
https://vibratissimo.com/quickControl.php?id=12345
L’attribut « id » était un simple compteur qui s’incrémentait à chaque fois qu’un utilisateur ouvrait un accès. D’après le chercheur, une personne malveillante peut créer son propre lien d’accès au travers de l’application mobile et diminuer le chiffre pour accéder au gadget d’une autre personne, sans que celle-ci ne lui ait demandé quoi que ce soit. Une telle action pourrait d’ailleurs être interprétée comme une agression sexuelle, souligne le chercheur.
Une faille du même genre a été trouvée au niveau du stockage des photos. Quand l’utilisateur enregistre une image, elle était stockée sur serveur web dans un dossier appelé « userPictures » et sous la forme « 12345.png », accessible à n’importe qui. Il suffisait de faire varier l’identifiant numérique pour accéder aux images d’autres personnes.
Enfin, en analysant l’appairage Bluetooth du sex-toy, le chercheur s’est rendu compte qu’il se faisait sans aucune authentification. N’importe qui se trouvant à proximité d’un tel gadget pouvait donc l’actionner. Alerté par l’expert, le fournisseur a d’abord répondu qu’il s’agissait là d’une fonctionnalité demandée par les adeptes d’orgies sexuelles. Mais après discussion, il s’est finalement résolu à intégrer une protection. Tous les utilisateurs ne partagent pas forcément ce goût de la promiscuité, cet esprit… d’ouverture.
Toutes les autres failles ont également été corrigées depuis. Elles montrent néanmoins que le développement de ce genre de produits, qui touchent à des aspects particulièrement intimes de la vie privée, a été fait sans jamais prendre en considération la sécurité informatique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.