Des vulnérabilités découvertes sur deux des sex-toys les plus vendus au monde

11 mars 2021 à 12h20
15
WeVibe © WeVibe
© We-Vibe

Les chercheurs d'ESET ont découvert des failles dans les applications qui permettent de contrôler les deux objets pour adultes les plus célèbres du moment.

Quand le plaisir peut se transformer en enfer. La pandémie, qui ne facilite pas les rencontres et interactions physiques de nombreuses et nombreux célibataires, a conduit à une hausse des ventes de sex-toys. Certains de ces objets, parmi les plus vendus du marché, sont devenus de véritables outils de plaisir technologiques, connectés, faisant bifurquer ses utilisateurs dans la sphère numérique. Sauf qu'aujourd'hui, tout objet relié d'une façon ou d'une autre au numérique devient une nouvelle cible pour les cybercriminels, qui ont pris un malin plaisir à pénétrer sur le marché des objets sexuels connectés. Avec de fâcheuses conséquences.

L'utilisation d'une méthode de jumelage à la sécurité fragile

Le dernier rapport en la matière des chercheurs d'ESET, Le sexe à l'ère numérique - Les objets sexuels connectés sont-ils sécurisés ?, fait état des découvertes inquiétantes des spécialistes de la cybersécurité, qui ont décelé des failles de sécurité dans les applications contrôlant deux des sex-toys les plus vendus du marché : le We-Vibe Jive et le Lovense Max. Pour y parvenir, ils ont d'abord téléchargé les applications correspondantes (We-Connect et Lovense Remote ) et utilisé des frameworks d'analyse de vulnérabilités, avant de procéder à de l'analyse directe.

Le premier des deux appareils, We-Vibe, fait en sorte de signaler sa présence un peu tout le temps, un peu partout, puisqu'il est un objet mobile et facilement transportable. Cela signifie que tout individu équipé d'un scanner Bluetooth peut, jusqu'à huit mètres de distance, détecter l'objet. Une personne malveillante pourrait très bien identifier l'appareil, qui agirait comme un aimant jusqu'à lui.

L'inconvénient du vibromasseur We-Vibe est qu'il utilise la méthode de jumelage la moins sécurisée. Pour vous donner une idée : le code clé temporaire utilisé par les objets pendant l'association est… le chiffre zéro uniquement. Cela veut dire que tout appareil (mobile , tablette ou ordinateur ) peut s'y connecter en utilisant zéro comme clé. Pas de vérification ni d'authentification. Un détail qui rend le We-Bide Jive vulnérable aux attaques dites de « l'homme du milieu » (man-in-the-middle attack ou MitM), qui permettent d'intercepter des fichiers partagés.

Certaines métadonnées sont exposées du moment qu'elles sont rattachées aux fichiers partagés. ESET évoque notamment les photos envoyées par les utilisateurs à un téléphone à distance, qui donnent ainsi des informations sur l'appareil et leur géolocalisation très précise. Les chats échangés dans le cadre des applications, eux, restent protégés puisque enregistrés dans les dossiers de stockage privés de l'application.

« La sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l’heure actuelle »

Le Lovense Max, lui, est spécifiquement dédié aux longues distances, on ne vous fait pas de dessin, avec une synchronisation des deux appareils, même situés à des milliers de kilomètres l'un de l'autre. Cela signifie qu'un individu malveillant pourrait prendre le contrôle non pas d'un seul, mais des deux appareils, le tout en ne compromettant qu'un des deux.

Alors quelles données sont exposées ici ? ESET précise que les fichiers multimédias ne contiennent pas de métadonnées lors des échanges, et qui plus est, l'application est protégée par un code de déverrouillage à quatre chiffres, ce qui renforce la sécurité. Mais la conception même de l'application peut menacer la vie privée des utilisateurs. Est notamment évoquée la possibilité de transmettre des images à des tiers, le tout à l'insu du propriétaire de ces dernières. Les utilisateurs supprimés ou bloqués peuvent aussi continuer à accéder à l'historique de discussion et aux fichiers multimédias précédemment partagés. Et les adresses électroniques rattachées à l'application sont partagées en clair entre chaque téléphone participant à une session de chat.

Lovense Max n'utilise pas non plus d'authentification pour les connexions BLE (Bluetooth Low Energy). Ce n'est pas un détail, puisque cela expose l'appareil à une attaque MitM, qui permettrait ainsi à l'attaquant de prendre directement le contrôle de l'appareil. « Bien que la sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l’heure actuelle, les utilisateurs peuvent prendre certaines mesures pour se protéger, notamment éviter d’utiliser les appareils dans des lieux publics, ou des zones de passage telles que des hôtels. Ils doivent uniquement connecter l’objet intelligent à son application mobile lorsqu’il est utilisé, car cela empêchera l’appareil d’annoncer sa présence auprès d’acteurs malveillants potentiels », conseillent Denise Giusto et Cecilia Pastorino, chercheuses chez ESET.

Aujourd'hui, toutes les vulnérabilités ont été corrigées par les fabricants.

Modifié le 14/03/2021 à 18h11
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
14
cirdan
«&nbsp;faisant bifurquer ses utilisateurs dans la sphère numérique.&nbsp;»<br /> Pour une fois, on ne vous en voudra pas d’écrire «&nbsp;digitale&nbsp;». <br /> «&nbsp;Alors quelles données sont exposées ici ?&nbsp;»<br /> Le taux d’humidité ?
BeauJack
«&nbsp;qui ont pris un malin plaisir à pénétrer sur le marché des objets sexuels connectés.&nbsp;»<br /> Good (blow)Job !
MisterDams
C’est pas très clair, les métadonnées sur les photos transitent comment ? Y’a des fonctionnalités de partage dans ces applications ? Ou c’est en cas d’échange classique (app de rencontre, iMessages etc) que le pirate peut démarrer la première étape en localisant une cible puis aller dans le périmètre du Bluetooth ?<br /> En tout cas ça montre une fois de plus qu’on rend tout connecté sans se préoccuper de la sécurité…
cwerle
Question juridique : le fait que quelqu’un d’autre que la partenaire sexuel habituel, prenne le contrôle du sextoy connecté et en use, est-il considéré comme du viol ?<br /> Je dirais oui, mais alors un fabriquant qui n’aurait pas suffisamment sécuriser devrait être normalement considéré comme «&nbsp;complice&nbsp;» non ?
BeauJack
suffisamment sécurisé jusqu’à quel point ? Si le sextoy est méga-sécurisé mais que quelqu’un peut tout de même le contourner, le fabricant est-il toujours «&nbsp;complice&nbsp;» ? C’est comme accuser un site web de complicité parce que tu t’es fait voler tes identifiants…
PierreKaiL
A quand l’appli qui détecte les sex toys…
v1rus_2_2
Ah je sens que ce truc va rester dans les anales
James_67
Tout part en cou***es.
karmenclubic
@MisterDams Tu as des fonctions de «&nbsp;couplage&nbsp;» avec des videos, des sites web, ou des bots qui permettent de faire réagir le sextoy en fonction.<br /> Tu peux partager le contrôle de ton sextoy à quelqu’un avec un lien privé, tu peux aussi le synchroniser avec un autre, tu peux contrôler l’intensité et le «&nbsp;mode&nbsp;», tout ça via internet.
Space_Boy
Des zizi télécommandé. Welcome to the future,
Sabrewolf
Pas si ils n’ont pas mis « suffisamment » de moyens pour empêcher de s’engouffrer dans une brèche. A la justice et aux experts de déterminer ce qui est suffisamment protégé!
Laura_L
«&nbsp;Aujourd’hui, toutes les vulnérabilités ont été corrigées par les fabricants.&nbsp;» Donc il n’y a plus de problème en fait…
MisterDams
OK, mais dans ce cas on est sur de la communication descendante, l’article évoque une communication ascendante où un fichier type photo fournit des métadonnées (donc sûrement les EXIF qui peuvent fournir les coordonnées GPS).<br /> Pour moi, c’est une faille à part entière plus large, car beaucoup d’utilisateurs ne savent même pas que ça existe, ils voient juste que leur iPhone sait où a été prise la photo mais ne se disent pas que c’est transmis avec le fichier.<br /> D’ailleurs plusieurs réseaux sociaux «&nbsp;Safe for work&nbsp;» effacent les métadonnées avant publication pour éviter qu’elles ne soient exploitées.<br /> Mais la responsabilité du fabricant semble en fait se limiter à une faille d’appairage Bluetooth, ce qui limite la sévérité de la faille (mais n’en reste pas moins à colmater).<br /> Pour les modèles interconnectés, effectivement ça peut être plus vaste mais ça ne fournira qu’une IP et a priori l’accès aux fonctionnalités l’appareil (comme on l’a vu il y a peu avec le ransomware d’une ceinture de chasteté). Sauf si ça permet de géolocaliser le propriétaire ?<br /> Mais là, faut voir si la faille est sur l’objet ou sur l’appli, je pense pas qu’ils intègrent une puce GPS directement (pour des raisons économiques évidentes).
jcc137
«&nbsp;Le dernier rapport en la matière…&nbsp;»<br /> Ca commence à friser l’érotisme
Peutch
Ça rappel La BD «&nbsp;Le déclic&nbsp;» pour les plus anciens!
Voir tous les messages sur le forum

Lectures liées

Honor 50 : le moins cher des haut de gamme se lance à 549 euros... et avec les services Google
Huawei lance sa Watch Fit Mini en Europe, une petite montre AMOLED à prix réduit
Forfait 90Go à moins de 10€, cest la nouvelle offre choc disponible chez Free
Moto Watch 100 : la nouvelle montre connectée de Motorola est confirmée et sera sûrement sous Wear OS
Une encoche sur la Samsung Galaxy Tab S8 Ultra ? C'est ce que semblent indiquer de nouveaux rendus
Amazon veut rentrer dans les hôpitaux et les maisons de retraite, un juteux filon?
La prochaine Apple Watch mesurerait la glycémie ! Les fournisseurs d'Apple s'y affairent
Confiant, Sony lance le Xperia PRO-I : un nouveau smartphone à 1 800 euros
80Go à 10€, l'offre choc RED by SFR prend fin ce soir à minuit 🔥
GX290 Pro, le smartphone ultra-résistant de Gigaset à la batterie XXL (Interview)
Haut de page