Si le Bluetooth Low Energy (BLE) peut apporter plus de confort et de piment à la manipulation d’un sextoy, c’est souvent au détriment de la protection de la vie privée, comme vient de le constater Alex Lomas, un chercheur en sécurité de la société Pen Test Partners. Il vient récemment d’analyser le plug anal Hush du fabricant Lovense, dont le moteur vibrant peut être commandé à distance depuis une application mobile Android ou iOS. Très rapidement, l’expert a déniché plusieurs problèmes.
Tout d’abord, dès qu’on allume l’appareil, il se met en mode « découverte ». Tant qu’il n’est pas connecté au smartphone, il est donc détectable par n’importe qui. Identifier un plug anal Hush est particulièrement facile, car ce jouet sexuel se présente toujours avec le même identifiant, à savoir « LVS-Z001 ». Pratique.
Mais ce n’est pas tout. La connexion au plug anal ne nécessite aucune authentification. A partir du moment où l’appareil est détectable, n’importe qui peut s’y connecter et, par exemple, actionner le vibreur. Ce qui peut être gênant dans certaines situations. Le chercheur, par exemple, a pu détecter un plug anal Hush en pleine rue. Il aurait pu se connecter et faire passer un mauvais (ou bon) moment au porteur inconnu.
Design défaillant
Cette faille au niveau de l’authentification n’est pas rare. Elle est même présente dans tous les jouets sexuels que le chercheur a testés, et notamment sur les modèles Kiiroo Fleshlight, Lelo, Lovense Nora et Lovense Max. Soit la connexion est totalement ouverte, soit elle nécessite d’entrer un code PIN statique, ce qui est à peine mieux. L’idéal serait de pouvoir entrer au niveau de l’appareil un code PIN généré par le smartphone. Mais il ne faut pas espérer atteindre un tel niveau de sécurité, vu qu’il n’y a pas d’interface graphique. « Et d’ailleurs, comment pourrait-on mettre une interface graphique sur un plug anal ? », s’interroge le chercheur.
L’expert propose quelques pistes d’amélioration. Ainsi, les fabricants pourraient faire en sorte que le nom de l’identifiant BLE soit générique pour qu’on ne puisse pas savoir de quel type d’appareil il s’agit. Ils pourraient également faire en sorte que l’appareil ne soit détectable qu’à certains moments, par exemple lorsqu’on appuie sur un bouton. Ils pourraient également définir un code PIN unique à chaque appareil. Evidemment, tout ceci représente un surcoût que les constructeurs ne pas forcément prêts à payer.
En attendant, pour éviter toute intrusion imprévue, veillez à ce que votre appareil soit toujours connecté à votre smartphone ou celui de votre partenaire. A moins que vous aimiez les surprises…
Source: Note de blog
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.