[FICHE DE VULNÉRABILITÉ] Si votre culotte vibre, c’est peut-être que vous vous êtes fait pirater

La digitalisation de nos objets du quotidien, censé être synonyme de progrès et de confort, ne rime pas forcément  avec sécurité. C’est le cas de nos godemichets connectés. Au fur et mesure que ces jouets pour adultes deviennent populaires, les découvertes concernant les failles de sécurité se multiplient. Il y a quelques mois, un jouet sexuel connecté et radiocommandé de la marque Lovense, Hush, avait défrayé la chronique à cause de son Bluetooth non sécurisé, permettant à quiconque se trouvant dans les parages d’actionner l’objet à distance. Dernièrement, une étude réalisée par le spécialiste autrichien de la sécurité SEC Consult, a recensé de nombreuses vulnérabilités sur un sextoy insolite, le Panty Buster de Vibratissimo. Ce vibromasseur qui se porte dans la culotte et peut être contrôlé à distance avec des applications mobiles (on vous laisse imaginer la suite), contient de nombreuses vulnérabilités ainsi que le site web de l’entreprise. En effet, le site de vibratissimo.com est vulnérable car il laisse ouvert à n’importe qui son interface de base de données (MySQL), si bien qu’un attaquant peut accéder à des informations sensibles concernant les utilisateurs.

Des fichiers privés laissés dans des répertoires publics

Le problème le plus grave (et qui a heureusement été immédiatement abordé par le propriétaire de Vibratissimo, Amor Gummiwaren) permettait à n’importe qui d’obtenir la base de données de toutes les informations clients en saisissant simplement un nom d’utilisateur et un mot de passe à partir d’un fichier ouvert sur le site Vibratissimo.com. Il a été également possible aux chercheurs de saisir des mots de passe sur des comptes des propriétaires de sextoys connectés. Le fichier, contenant les login et mot de passe d’environ 50.000 utilisateurs, n’était pas chiffré et un pirate avait ainsi la possibilité d’accéder au profil et de télécharger les données confidentielles et les photos que les utilisateurs eux-mêmes ont mises en ligne. À partir de là, un pirate informatique pourrait consulter des données sensibles, y compris des images explicites, l’orientation sexuelle et les adresses personnelles, selon un article du blog de la SEC.

Vibrations à distance sans consentement

Cette première faille de sécurité a été corrigée par l’entreprise, mais les chercheurs de SEC Consult ont identifié une technique pour qu’un pirate puisse activer à distance le vibromasseur. L’application du Panty Buster permet à celle qui porte l’objet de partager un lien unique avec un contact de son choix, le laissant alors prendre le contrôle des vibrations du jouet. En effet, l’application mobile de Vibratissimo offre la possibilité aux clients d’utiliser une fonctionnalité appelée « Quick Control », qui leur permet d’envoyer un lien avec un identifiant unique à un ami par email ou par SMS, afin de pouvoir contrôler le sextoy connecté à distance. Malheureusement, les liens envoyés ne sont pas aléatoires: ils sont définis via un compteur global qui est incrémenté à chaque fois qu’un nouveau lien « Quick Control » est créé. Il n’existe pas non plus d’obligation pour l’utilisateur du sextoy connecté de confirmer au préalable l’accès à distance par un autre utilisateur. Par ailleurs, les chercheurs de SEC Consult ont découvert que ces liens peuvent être découverts par les hackers, car ils sont simples à deviner.

Bluetooth défaillant

Si le Bluetooth Low Energy (BLE) peut apporter plus de confort et de piment à la manipulation d’un sextoy, c’est souvent au détriment de la protection de la vie privée. Les chercheurs de SEC Consult ont en effet identifié une faille de sécurité dans le bluetooth permettant de lier le vibromasseur au smartphone où se trouve l’application. Cette autre faille permet à un attaquant, toutefois proche de la victime, d’activer l’appareil à distance. Cette faille a été corrigée par Vibratissimo, mais pour qu’elle soit active, les utilisatrices doivent renvoyer l’appareil à l’entreprise, car il s’agit d’une mise à jour du firmware du vibromasseur qui ne peut être réalisée qu’en usine.

Bien que le problème n’ait pas encore été entièrement résolu par les propriétaires de Vibratissimo, la SEC pense que des mises à jour sont à venir. Johannes Greil, qui dirige le SEC Consult Vulnerability Lab, a déclaré auprès du magazine Forbes: “Les premiers tests de sécurité ont révélé des problèmes assez critiques, mais le vendeur a déclaré qu’il allait régler ces autres problèmes dans un avenir très proche. Comme toujours, nous recommandons d’autres tests de sécurité pour augmenter le niveau de sécurité de ces produits.” Compte tenu de la popularité des applications de Vibratissimo, il serait sage pour les utilisateurs de profiter des mises à jour quand ils le peuvent. Selon les chiffres de Google Play, entre 50 000 et 100 000 personnes ont téléchargé l’application Android correspondante.

Si les fabricants de sextoys connectés continuent de doter leurs produits de fonctionnalités toujours plus invraisemblables (alarmes, notifications, enregistrement des ébats) sans se préoccuper le moins du monde des conséquences possibles en termes de sécurité, le problème pourrait devenir vraiment sérieux. Les vibromasseurs dotés d’un code approximatif et d’un chiffrement expéditifs envahissent le marché, et les chambres à coucher du monde entier pourraient en subir les conséquences. Il serait dommage qu’une soirée de plaisir ininterrompu se transforme brutalement en piratage de compte PayPal.

L’avis des experts

Les CERTs confèrent à ces vulnérabilités le score CVSS suivant selon les critères suivants :

– Vecteur d’attaque : exploitable à distance

– Complexité d’accès : facile

– Authentification : non requise

– Confidentialité : aucune

– Intégrité : aucune

– Disponibilité : complète

Les CERTs lui confèrent un score CVSS de 7,8