Deux chercheuses ont publié un rapport inquiétant concernants des sextoys. Elles dénoncent sur certains des failles de sécurité sur certains de ces objets connectés.
Denise Giusto Bilić et Cecilia Pastorino sont des chercheuses au sein l’ESET et se spécialisent dans la sécurité. Les deux viennent de publier un rapport alarmant concernant les sextoys connectés. Le contenu de ce document montre que ces objets comportent des failles qui exposent leurs utilisateurs à des tentatives de piratage. Ce type d’incident n’est pas le premier du genre Lovesense Max et We-Vibe Jive. En effet, en 2020, un hacker est parvenu à demander une rançon au propriétaire d’une ceinture de chasteté après avoir réussi à prendre les commandes.
Une connexion avec un niveau de sécurité très faible
Il faut savoir que ces sextoys connectés fonctionnent avec un bluetooth BLE, c’est-à-dire un système qui consomme une faible énergie. Le dispositif est connecté avec un smartphone et se sert d’une application qui est reliée à un serveur. Il peut également utiliser une connexion internet pour échanger avec un partenaire via cette application. D’après Denise Giusto Bilić et Cecilia Pastorino, les sextoys concernés adopte le mode d’appairage Just Works. Celle-ci utilise une clé temporaire 0, ce qui signifie que les hackers ont la possibilité d’établir une connexion assez facilement en introduisant la clé 0 lors de l’appairage.
Par la suite, grâce à un faux système, il pourra entrer de force lors de l’appairage. Si cela se produit, les conséquences seront dramatiques car ils obtiendront les commandes ainsi que les informations qui y circulent.
Des failles détectées au niveau des applications
En étudiant les deux objets pointés du doigt par le rapport, les chercheuses ont aussi mis en avant des failles sur les applications. Avec l’application we-Connect, des données privées ne sont pas effacées lorsque deux personnes communiquent via le support. En sus, les chercheuses notent un niveau de sécurité très bas lié à l’accès qui ne nécessite qu’un code PIN à 4 chiffres. Une attaque comme BADUSB parviendra sans problème à s’y infiltrer.
Lovesense révèle un cas plus grave. Lors de l’identification, l’utilisateur entre 4 caractères alphanumériques seulement pour ouvrir l’accès. Pour éviter une infiltration, cela est de loin suffisant. Le contrôle s’effectue en outre à distance, depuis un navigateur. Comme toutes les applications, celle-ci requiert une mise à jour. Là encore, les chercheuses évoquent une faible sécurisation. Une personne malveillante pourrait proposer une mise à jour factice.
Un autre problème vient s’y ajouter : les transactions de bout en bout ne sont pas cryptées. De plus, après une demande de suppression des messages depuis un smartphone, ceux-ci ne sont pas effacés. Lovesense accumule les adresses et pour finir, elle ne réalise pas la désactivation des captures d’écran. Pourtant, il faut savoir que We-Vibe Jive et Lovesense Max connaissent un grand succès en ce moment. Pour corriger ces erreurs, Denise Giusto Bilić et Cecilia Pastorino n’ont pas hésité à adresser ce rapport aux constructeurs qui se sont empressés de corriger ces erreurs.
Pour rappel, les deux sextoys mis en cause dans ce rapport sont : Lovesense Max et We-Vibe Jive.