IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Cellmate, un dispositif de chasteté masculine "intelligent", présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent,
Selon Pen Test Partners

Le , par Bill Fassinou

158PARTAGES

10  0 
Une vulnérabilité présente dans un jouet sexuel de chasteté “intelligents” a fait courir aux utilisateurs le risque d'un verrouillage permanent. C’est Pen Test Partners, une entreprise britannique de sécurité informatique, qui a découvert la faille dans le gadget sexuel intelligent Cellmate utilisé par des dizaines de milliers de personnes dans le monde. L’entreprise a déclaré que la faille dans le verrou de chasteté connecté à Internet aurait pu permettre à n’importe qui de verrouiller à distance et de façon permanente l'appareil génital de l'utilisateur, une situation qui peut rapidement devenir critique.

D'après les chercheurs à l’origine de la découverte, ce n'est pas parce que presque tous les gadgets ou appareils peuvent être connectés à Internet qu'ils doivent l'être. Les pannes peuvent rendre ces appareils “intelligents” inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut les rendre facilement piratables. L’IdO est un jeune domaine avec un grand potentiel, mais les chercheurs préconisent qu’il doive en effet y avoir une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.

Cellmate est une cage de chasteté masculine connectée à Internet conçue par la société chinoise Qiui. Il serait le tout premier dispositif de chasteté contrôlé par une application au monde. Il fonctionne en permettant à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.

Pen Test Partners, qui a découvert la faille, a déclaré que les conséquences d'une faille de sécurité majeure dans ce jouet sexuel populaire auraient pu être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la cage a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle d’un dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la cage.


Toutefois, cette opération nécessite des coupe-boulons ou une meuleuse d'angle, et est rendue plus délicate par le fait que la manille est fermement attachée autour des glandes génitales de l'utilisateur. L'autre possibilité, découverte par Pen Test Partners, consiste à surcharger la carte de circuit imprimé contrôlant le moteur de la serrure avec trois volts d'électricité (environ 2 piles AA). La société a déclaré que l’analyse de l’API a révélé de nombreuses failles, dont une laisse fuir des données précises sur la localisation des utilisateurs, y compris des informations personnelles et des chats privés.

En effet, Pen Test Partners a déclaré avoir découvert une grave faille de sécurité dans l'application mobile : tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.

Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing. Le cabinet a informé Qiui de l’existence de la vulnérabilité, mais celui-ci a manqué les trois délais de remédiation qu'il s'était fixés sur une période de 6 mois.

Cela est sûrement dû au fait que la mise hors ligne de l’API vulnérable aurait enfermé toute personne utilisant l'appareil. Le développeur a proposé une nouvelle version de l’API pour les nouveaux utilisateurs, mais a laissé l'API non sécurisée pour les utilisateurs existants. Jake Guo, directeur général de Qiui, a déclaré à TechCrunch qu'une solution serait disponible en août, mais cette date limite a été dépassée. Dans un courriel de suivi expliquant les risques aux utilisateurs, Guo a déclaré : « Nous sommes une équipe de base : quand on le répare, ça crée plus de problèmes ».


Selon Pen Ten Partners, Qiui a finalement refusé d'interagir davantage pour trouver une solution à la première version de l’API. En outre, le cabinet a décidé de rendre publique la découverte quand il a remarqué qu’un autre chercheur a soulevé un problème de sécurité distinct, et qu'il avait aussi eu du mal à obtenir une réponse de Qiui. Pen Test Partners a déclaré qu’il ne sait pas si quelqu'un a exploité malicieusement l'API vulnérable. Mais il estime que de nombreux utilisateurs de l'application se sont plaints qu’elle comportait des bogues qui faisaient que l'appareil restait verrouillé.

« L'application a complètement cessé de fonctionner au bout de trois jours et je suis bloqué », a déclaré un utilisateur. Un autre a dit qu'il « s'est déjà retrouvé coincé deux fois en la portant à cause du manque de fiabilité de l'application ». « Elle a fonctionné pendant environ un mois jusqu'à ce que je sois presque coincé dedans. Heureusement, elle s'est déverrouillée de manière aléatoire et j'ai pu m'en sortir. Le dispositif a laissé une mauvaise cicatrice qui a pris près d'un mois de récupération », a déclaré un autre.

Qiui s'ajoute à une longue liste de jouets sexuels présentant des problèmes de sécurité qui n'existent pas dans les appareils non connectés à Internet. En 2016, des chercheurs affirment qu'un mouchard dans un “panty buster”, un vibromasseur alimenté par Bluetooth, permettait à n'importe qui de le contrôler à distance via Internet. De même, en 2017, un fabricant de jouets sexuels intelligents a réglé un procès après avoir été accusé de collecter et d'enregistrer des “données très intimes et sensibles” de ses utilisateurs. Ce genre d’incidents n’est pas inhabituel avec les dispositifs IdO.

« Il n'est pas inhabituel de rencontrer un tel problème dans de nombreux domaines de l'IdO, et la télédidonique ne fait pas vraiment exception », a déclaré Alex Lomas, chercheur en sécurité chez Pen Test Partners. « Nous avons nous-mêmes, ainsi que d'autres chercheurs, constaté des problèmes similaires au fil des ans chez différents fabricants de jouets sexuels. Je pense personnellement que les dispositifs les plus intimes devraient être soumis à des normes plus strictes que vos ampoules électriques ».

Source : Pen Test Partners

Et vous ?

Qu'en pensez-vous ?

Voir aussi

61 % des entreprises utilisent désormais des plateformes IdO, avec un taux d'adoption plus élevé (71 %) dans le secteur des IT et des télécommunications, selon un rapport

Le gouvernement japonais prévoit de pirater les dispositifs IoT des citoyens pour aider à les sécuriser avant les Jeux Olympiques 2020 au Japon

Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable

Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS, en utilisant l'outil dédié LizardStresser

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de foxzoolm
Membre habitué https://www.developpez.com
Le 07/10/2020 à 23:15
pas ce soir cherie, je me suis fait pirater la b*te
9  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 07/10/2020 à 17:38
En même temps, si tu utilises ce genre de gadgets débiles, tu mérites de crever la bite coincée dans un fourreau électronique. Ça fait le tri.
11  3 
Avatar de sergio_is_back
Expert éminent https://www.developpez.com
Le 07/10/2020 à 17:41
Cette superbe invention mériterait le prix Ignobel !!!

Quand on voit à quoi la technologie est employée... ça laisse songeur...
8  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 07/10/2020 à 16:35
Si c'est que le pote, encore.

Imagine si tu es obligé d'appeler les pompiers ou d'aller aux urgences.

Et puis la meuleuse à cet endroit, tu as intérêt à être habile. Faut pas déraper, sinon la castration, pour le coup, elle est définitive.
5  0 
Avatar de i5evangelist
Membre éclairé https://www.developpez.com
Le 07/10/2020 à 17:47
En même temps, si tu utilises ce genre de gadgets débiles, tu mérites ...
On appelle ça "la sélection naturelle"
6  1 
Avatar de gros_rougeot
Membre actif https://www.developpez.com
Le 12/01/2021 à 8:44
Ne leur reste plus qu'aller voir le mécano du coin pour attaquer le dit objet à la disqueuse.
4  0 
Avatar de archqt
Membre émérite https://www.developpez.com
Le 07/10/2020 à 17:42
Et il laisse des données sensibles accessibles en plus, nom, prénom, taille du p.... Quand tout le bureau l'apprend t'as l'air d'un gland
3  0 
Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 08/10/2020 à 11:25
Mais que... quoi... comment ? Je crois que c'est officiellement l'invention la plus stupide dont j'ai pris connaissance en 2020.
4  1 
Avatar de 23JFK
Inactif https://www.developpez.com
Le 07/10/2020 à 23:39
M*rd* Maintenant youtube va me harceler avec de vidéos de tordus.
2  0 
Avatar de Flodelarab
Expert éminent sénior https://www.developpez.com
Le 21/10/2020 à 18:06
Ahhhhh, c'est donc ça "sticky bit" ?
Ça bouge plus.
2  0