Des experts en sécurité ont découvert de multiples vulnérabilités dans “Panty Buster” de Vibratissimo, un sextoy connecté.
Passons sur les mauvaises blagues concernant les objets connectés (IoT) qui échouent lamentablement aux tests de pénétration, et allons directement à l’essentiel, à savoir qu’à l’image des innombrables objets connectés, celui-ci est rempli d’erreurs basiques, que l’on ne devrait plus rencontrer.
Comme l’a souligné la société de sécurité SEC Consult jeudi, Panty Buster, un sextoy connecté et Bluetooth que vous glissez dans vos sous-vêtements et que vous pouvez contrôler via une application smartphone, est vulnérable vis-à-vis d’une prise de contrôle à distance par des cybercriminels, et susceptibles de mettre en danger des données intimes.
Le sextoy connecté, ainsi que d’autres produits de la gamme Vibratissimo, sont fabriqués et exploités par la société allemande Amor Gummiwaren GmbH.
Les experts de SEC Consult ont trouvé une base de données contenant toutes les données clients des utilisateurs de Panty Buster, y compris des images explicites prises par le cyberdildo, des logs de discussions, l’orientation sexuelle, les adresses email, les mots de passe stockés en clair, et bien d’autres informations, le tout disponible et accessible en ligne par n’importe qui.
Les pirates étaient également en mesure de contrôler à distance l’appareil sans le consentement de l’utilisateur, via Bluetooth ou internet. Selon le fabricant, cette possibilité offerte était censée être une fonctionnalité et non un bug. Certains de leurs clients aiment sortir dans des clubs échangistes où ils peuvent être stimulés de manière aléatoire, a déclaré SEC dans son post.
Selon les experts, les images explicites étaient accessibles du fait d’URLs prévisibles et de contrôles d’autorisation manquants.
SEC affirme que, sur la base des téléchargements depuis le Google Play Store et l’AppStore d’Apple, le nombre d’utilisateurs concernés est de plusieurs centaines de milliers. Le fait que les mêmes vulnérabilités se trouvent aussi dans des sextoys d’autres fabricants, tels que Lovense, Kiiroo Fleshlight et Lelo, a certainement aidé à gonfler ce chiffre.
Les experts ont déclaré que le fabricant du Panty Buster a intégré une méthode de jumelage Bluetooth plus sécurisée, malgré la cible privilégiée représentée par les clients des clubs échangistes. Malheureusement, même si les nouveaux périphériques prennent en charge le jumelage protégé par mot de passe, cette option n’est pas activée par défaut. Les propriétaires d’appareils plus anciens doivent envoyer les leurs à Amor Gummiwaren pour obtenir un correctif, nécessitant une mise à jour du firmware.
Toujours les mêmes bonnes vieilles vulnérabilités
Le cas du Panty Buster peut en effet nous émoustiller, étant donné qu’il s’agit d’une nouveauté dans le monde sexy télédildonique. Mais honnêtement, il n’y a rien de nouveau dans les vulnérabilités en question.
Des fichiers privés laissés dans des répertoires publics. Beaucoup d’entreprises sont concernés par ce problème. Il y a un an, Denuvo, un fabricant de logiciels de gestion des droits numériques (DRM) n’était pas parvenu à protéger tous les répertoires de son site web vis-à-vis de l’espionnage public.
Comme SEC a déclaré, il s’agit de la même erreur qui a permis à la base de données clients complète de Panty Buster d’être accessible par des cybercriminels. L’utilisation de ces identifiants de connexion a permis aux hackers de se connecter à la base de données et d’accéder à toutes les informations sensibles des clients, notamment les images explicites, l’orientation sexuelle et les adresses du domicile.
Des mots de passe en clair. Selon SEC, les mots de passe des utilisateurs de Panty Buster ont été stockés en clair dans la base de données. Un cybercriminel qui serait parvenu à pénétrer dans cette dernière pouvait alors utiliser les mots de passe pour accéder aux comptes des utilisateurs.
Il s’agit de pratiques de cybersécurité plutôt médiocres, et elles sont inutiles et inacceptables depuis des années. De plus, étant donné que beaucoup d’internautes réutilisent leurs mots de passe, Dieu sait quels autres comptes bancaires, réseaux sociaux ou comptes avec des champs vides à remplir pourraient être piratés. Même si vous choisissez un mot de passe super-fiable, il suffit d’un site imprudent pour divulguer ce mot de passe sous une forme directement exploitable.
Des liens internet “impossible à deviner” mais prévisibles. SEC a constaté que l’application mobile de Vibratissimo offraient la possibilité aux clients d’utiliser une fonctionnalité appelée “Quick Control”, qui leur permettait d’envoyer un lien avec un identifiant unique à un ami par email ou par SMS, afin de pouvoir contrôler le sextoy connecté à distance.
Malheureusement, les liens envoyés ne sont pas aléatoires: ils sont définis via un compteur global qui est incrémenté à chaque fois qu’un nouveau lien “Quick Control” est créé. Il n’existe pas non plus d’obligation pour l’utilisateur du sextoy connecté de confirmer au préalable l’accès à distance par un autre utilisateur.
Voici une maxime de cybersécurité ultra simple : ne laissez à personne la possibilité de deviner quoi que ce soit !
Billet inspiré de What online sex toys can teach you about secure coding, sur Sophos nakedsecurity.