Discussion :

[Patrick Ruiz]

La société américaine SVAKOM aurait volontairement introduit des failles de sécurité dans ses sex-toys connectés
D'après des tests de la firme de sécurité PenTestPartners

Les objets connectés, c’est connu, posent d’énormes problèmes de sécurité. Des problèmes, il y en a tellement dans l’industrie de l’IdO (internet des objets) que des fleurons de l’industrie high-tech y voient une véritable niche et proposent des solutions. Ainsi, un fabricant d’équipements connectés dispose actuellement d’un éventail de solutions de sécurisation non négligeable. Il devrait en principe en tirer profit pour permettre à ses clients de profiter en toute « intimité » de leur acquisition. Il semblerait pourtant, d’après des révélations de la firme de sécurité PenTestPartners (PTP), que ce ne soit pas le cas de la société américaine SVAKOM.

PTP a partagé ses trouvailles sur ce cas, et il en ressort que les sex-toys connectés de SVAKOM, les Svakom Siime Eye plus précisément, seraient plutôt des portes ouvertes sur l’intimité de ses clients. Ces sex-toys sont en effet dotés de caméras et de points d’accès (AP) auxquels PTP a pu se connecter plus ou moins aisément.

La première découverte frappante de PTP a été de constater que le constructeur n’aurait pas le contrôle total de l’application destinée à être utilisée en conjonction avec le vibromasseur. Un coup d’œil à l’ossature de l’application présentée ci-dessous a permis à l’équipe PTP d’arriver à cette conclusion.

La présence du fichier source com.Skyviper suffisait déjà à établir le lien avec le constructeur de drones Skyviper qui aurait dégagé sa responsabilité, la renvoyant plutôt à des développeurs qui auraient travaillé pour les deux entreprises.

Une investigation plus poussée, cette fois dans le fichier source com.SiimeEye a permis à PTP de mettre à nu une autre faille importante. Dans un scénario d’utilisation normale, un utilisateur se servirait d’une application Android ou iOS pour se connecter au point d’accès du vibromasseur. Il entrerait alors les identifiants SSID : Siime Eye et mot de passe par défaut : 88888888. Seulement, un autre moyen d’accès aurait été réservé dans le fichier source com.SiimeEye.

La lecture du code suggère qu’un tiers, via une interface web, pourrait se servir de la combinaison adresse IP:numéro de port 192.168.1.1:80 pour accéder à l’AP du vibromasseur, ce, en entrant les identifiants admin:[blank]. PTP affirme avoir procédé ainsi et réussi à accéder à l’AP. Il y a même plus grave d’après PTP, c’est que l'utilisateur X, n'ayant pas connaissance de ce mode d'accès alternatif ne pourra s'en prémunir. Comble de l’histoire, celui qui a accès à l’AP, dispose de toutes les ressources accessibles via l’application. Imaginez donc le type de média entre les mains d’un tiers, suivez notre regard.

Du fait de l’intégration au vibromasseur d’une fonctionnalité point d’accès, l’équipe PTP a réussi d’autres prouesses comme celle de géolocaliser des possesseurs de cet appareil. Elle a également révélé d’autres fonctionnalités cachées comme la possibilité pour un tiers d’avoir accès à la caméra de l’appareil via Skype.

Des constats qui, comme l’a fait l’équipe PTP, amènent à se poser des questions fondamentales :

• est-ce vraiment utile de doter un vibromasseur d’un point d’accès ?
• le vibromasseur en question devrait-il être muni d’une caméra ?
• est-ce sérieux pour des constructeurs d’intégrer des fonctionnalités d’accès à la caméra via Skype ?

Voilà une liste d’interrogations qui pourraient bien jaillir sur un autre scandale comme ça avait été le cas dans l’affaire WeVibe. Le constructeur avait été condamné pour collecte des données des utilisateurs de son sex-toy. PTP affirme avoir contacté SVAKOM qui jusqu'ici n'a pas réagi.

Sources : PTP

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question

Après les Botnets, les ThingBots ? Proofpoint découvre une cyberattaque basée sur l'Internet des objets

[emutramp]

L’arrivé de*la technologie connectée sur l’ensemble des produits proposes aux consommateurs, avec succès renforce un peu plus l’emprise de la surveillance généralisé.

Windows, Apple, Android et même Linux on démontré en 25 ans que la sécurité ne pouvait pas être garantie. L’exigence de la source intégrale du produit connectée pour l’autorisation de sa vente en France devrait être dans les lois ne serait-ce que pour protéger le peu de vie privée restant.

En attendant ce qui arrivera jamais… Évitez au maximum ces produits connecté.

[arond]

• est-ce vraiment utile de doter un vibromasseur d’un point d’accès ?
• le vibromasseur en question devrait-il être muni d’une caméra ?
• est-ce sérieux pour des constructeurs d’intégrer des fonctionnalités d’accès à la caméra via Skype ?

La réponse étant non à toutes ces questions fin du débat et bonne chance aux idiots qui ont acheté ces trucs

[MagnusMoi]

Le job de cette société est de créer des des jouets qui vous b**s* ...
Là c'est le cas dans tous les sens du terme avec ces objets connectés de m*rd*
Job done nope ?

[landry161]

La réponse étant non à toutes ces questions fin du débat et bonne chance aux idiots qui ont acheté ces trucs

Il fait vraiment être *d**t pour acheter une connerie pareille .

[petitours]

c'est celui là mon préféré ( de truc débile et inutile et mauvais pour la santé et...)
http://www.magazine20minutes.com/cap...ille_pain.html

[Deck0]

Ils veulent un accès privilégié à vos sextoys.

Vous ne savez pas ce que vous insérez vraiment...

C'est pour ça que le bio c'est toujours mieux !