Des vibromasseurs connectés qui espionnent ses utilisateurs
Pour commencer, les hackers à la conférence sécurité Def Con en Août dernier, ont révélé qu’ils avaient pratiqué un reverse engineering sur des vibromasseurs connectés à internet et Bluetooth, afin de démontrer que l’univers de l’objet vibrant intelligent regorge, lui aussi, de vulnérabilités tout comme les traditionnels objets connectés non vibrants.
Ils ont décidé de pratiquer un reverse-engineering sur un produit en particulier : le We-Vibe 4 Plus, commercialisé par la société au nom plutôt banal de Standard Innovation Corp.
Comme le souligne Gizmodo, les hackers ont révélé que les vibromasseurs connectés transmettaient des données utilisateurs qui comprenaient le niveau de la température ainsi que l’intensité des vibrations à la société en question, et ce en temps réel.
Par exemple, le réglage des vibrations au niveau du We-Vibe offre les sensations classiques telles que l’impulsion et le mouvement ondulatoire, auxquelles se rajoutent des paramétrages plus exotiques tels que l’écho, l’apogée ou le “cha cha cha”.
Après la conférence DefCon et les révélations faites à propos du cha-cha-cha, les choses se sont en fait empirées pour Standard Innovation. Les choses sont même devenues litigieuses.
En effet, comme le rapporte Courthouse News, une femme de l’Illinois a déposé un recours collectif contre l’entreprise.
Les 5 plaignants dénoncent la violation de la loi fédérale sur la mise sur écoute, et de la loi de l’Illinois sur l’espionnage, des faits d’intrusion dans la vie privée, un enrichissement injuste, et enfin une fraude aux consommateurs.
La femme en question, identifiée devant le tribunal uniquement par ses initiales N.P., a acheté son vibromasseur auprès d’un détaillant dans l’Illinois.
Les vibromasseurs connectés We-Vibe peuvent être reliés aux téléphones portable des utilisateurs par le biais d’une application We-Connect.
Ensuite, au programme, augmentation de l’intensité et, apparemment, vol de données !
Selon la plainte déposée le 2 Septembre, N.P. a utilisé son vibromasseur connecté à plusieurs reprises sans réaliser que l’application “We-Connect surveillait et enregistrait en temps réel, la manière avec laquelle les utilisateurs utilisaient l’appareil ».
La plainte dénonçait également le fait que Standard Innovation avait omis de mentionner qu’il transmettait les données collectées, concernant les informations d’utilisation, vers son serveur au Canada.
Selon les déclarations de N.P., les données dont il est question ici sont des détails intimes tels que …
Finalement, Standard Innovation a bien confirmé qu’effectivement il récupérait “des données de façon limitée”. Il s’est également engagé à rendre ses conditions générales d’utilisation plus claires pour ses clients.
Mi-septembre, l’entreprise s’est formellement engagée dans une déclaration “à améliorer la transparence et à continuer de renforcer les mesures de protection des données”.
L’entreprise a aussi déclaré qu’il avait eu recours à des experts externes en sécurité et protection de la vie privée, afin de conduire un audit complet de leur pratique en matière de données, avec des recommandations claires pour renforcer dans le futur la protection des données de leurs clients”.
Le fabricant du We-Vibe a déclaré que l’entreprise allait mettre à disposition une mise à jour pour l’application We-Connect, et ce pour la fin du mois de septembre. Cette mise à jour comprendra une nouvelle in-app concernant la communication et dédiée notamment à la protection de la vie privée et à l’utilisation des données. Enfin une nouvelle fonctionnalité permettra aux clients de contrôler la manière avec laquelle leurs données sont utilisées.
Nous avons, certes, une tendance à rire nerveusement lorsque du contenu pour adultes se retrouve confronter à la réalité, en matière de confidentialité et de la sécurité des données. Cependant, les choses peuvent vite devenir sérieuses : cela avait été clairement mis en évidence au cours de l’horrible faille de sécurité survenue l’an dernier, concernant le site de rencontres Ashley Madison.
Cette faille avait abouti à une vague massive de données utilisateurs mise en ligne, associé à des tentatives d’extorsion de fonds.
Il est difficile d’imaginer comment les habitudes d’utilisation des vibromasseurs connectés pourront être utilisées pour extorquer de l’argent à quiconque. Néanmoins, il est plutôt facile d’imaginer que des cybercriminels qui arriveront à mettre la main sur les adresses emails des utilisateurs, y verront une formidable opportunité pour pratiquer du cyberharcèlement.
Barbara Hudson, une des lectrices de Slashdot, a précisé au nom de l’entreprise Standard Innovation que la mise en œuvre de tels appareils intelligents, ne pouvait se faire sans le partage d’informations :
Ainsi, que devons-nous faire, si nous voulons pouvoir partager et s’amuser avec notre smartphone, tout en préservant notre vie privée ?
Nous pouvons, par exemple, apprendre comment sécuriser ces objets connectés. Voici 7 astuces que l’un de nos experts sécurité vous livre ici.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Des vibromasseurs connectés qui espionnent ses utilisateurs : http://wp.me/p2YJS1-2WX
Billet inspiré de Maker of smart vibrator sued for snooping on customers’ use, par, Sophos NakedSecurity.