La cybersécurité, jusque dans ... les sextoys

Les deux fabricants ont reçu un rapport détaillé des vulnérabilités et des suggestions sur la manière de les corriger.

Les chercheurs d'ESET⁽¹⁾ ont découvert des vulnérabilités dans les applications contrôlant deux objets sexuels intelligent: le We-Vibe Jive et le Lovense Max. Ces vulnérabilités pourraient conduire à l'installation de logiciels malveillants sur le téléphone connecté, la modification du micrologiciel des objets, voire la modification délibérée d'un appareil pour causer des blessures physiques aux utilisateurs.

Pour aborder ces dangers et étudier le degré de sécurité des objets intelligents, les chercheurs d'ESET ont analysé deux des objets pour adultes les plus vendus sur le marché : le We-Vibe Jive et le Lovense Max. Les analystes ont téléchargé les applications des fabricants depuis la boutique Google Play pour contrôler les appareils (We-Connect et Lovense Remote), et ont utilisé des frameworks d'analyse de vulnérabilités ainsi que des techniques d'analyse directe pour identifier des défauts dans leur mise en oeuvre.

Toute personne équipée d'un scanner Bluetooth peut trouver l'appareil à proximité, jusqu'à huit mètres de distance

En tant qu'appareil portable, le We-Vibe Jive est susceptible d'être utilisé dans des environnements peu sûrs. L'appareil annonce continuellement sa présence pour faciliter la connexion, ce qui signifie que toute personne équipée d'un scanner Bluetooth peut trouver l'appareil à proximité, jusqu'à huit mètres de distance. Des agresseurs potentiels pourraient alors identifier l'appareil et utiliser la force de son signal pour les guider vers son porteur. L'application officielle du fabricant n'est pas nécessaire pour contrôler l'appareil, car la plupart des navigateurs offrent des fonctions pour cela.

Le Jive utilise la méthode de jumelage BLE la moins sûre, dans laquelle le code clé temporaire utilisé par les appareils pendant le jumelage est simplement le chiffre zéro. Tout appareil peut donc se connecter en utilisant zéro comme clé. Le Jive est très vulnérable aux attaques de type man-in-the-middle (MitM), car un Jive non jumelé pourrait se jumeler automatiquement avec n'importe quel téléphone mobile, tablette ou ordinateur qui le demanderait, sans effectuer de vérification ni d'authentification.

Bien que les fichiers multimédias partagés entre les utilisateurs lors des sessions de chat soient enregistrés dans les dossiers de stockage privés de l'application, des métadonnées restent incluses dans les fichiers partagés. Cela signifie que chaque fois que les utilisateurs envoient une photo à un téléphone à distance, ils envoient également potentiellement des informations sur leur appareil et leur géolocalisation exacte.

Lovense

Le Lovense Max peut se synchroniser avec un homologue à distance, ce qui signifie qu'un agresseur pourrait prendre le contrôle des deux appareils en ne compromettant que l'un d'entre eux. Les fichiers multimédias ne contiennent cependant pas de métadonnées lorsqu'ils sont échangés avec l'appareil distant, et l'application permet de configurer un code de déverrouillage à quatre chiffres via une grille de boutons, ce qui rend les attaques par force brute plus difficiles.

Certains éléments de la conception de l'application peuvent menacer la vie privée des utilisateurs, tels que la possibilité de transmettre des images à des tiers à l'insu de son propriétaire, et les utilisateurs supprimés ou bloqués continuent d'avoir accès à l'historique de chat et à tous les fichiers multimédias précédemment partagés. Lovense Max n'utilise pas non plus d'authentification pour les connexions BLE, donc une attaque MitM peut être utilisée pour intercepter la connexion et envoyer des commandes pour contrôler les moteurs de l'appareil. L'utilisation par l'application d'adresses email dans les identifiants des utilisateurs pose en plus des problèmes de confidentialité, les adresses étant partagées en texte clair entre tous les téléphones participant à chaque chat.

"Avec le développement du marché des objets sexuels, les fabricants doivent faire de la cybersécurité une priorité, car chacun a le droit de pouvoir utiliser la technologie en toute sécurité", alertent Denise Giusto et Cecilia Pastorino, Researchers chez ESET.

Les deux fabricants ont reçu un rapport détaillé des vulnérabilités et des suggestions sur la manière de les corriger. "Toutes les vulnérabilités ont aujourd'hui été résolues", indique l'ESET.