Discussion :

[stigma]

ça fait hélas partie de la décadence de notre civilisation.

[Mingolito]

Ce qui est nouveau c'est les dispositifs IoT, pour le reste c'est des jeux BDSM et du sado masochisme, et ça c'est des tendances psychologiques et donc ça n'a rien de nouveau ou de "décadent". Pour beaucoup c'est vu comme des jeux pervers, et pour d'autres c'est un mode de vie. Citons par exemple le cas typique du patron d'entreprise, qui en ayant marre de devoir manager tous le monde s'offre une séance avec une maîtresse domina pour renverser la vapeur et se retrouver dans une situation inverse à son job, et il y a pleins d'autres exemples, d’ailleurs le BDSM est devenu pas mal à la mode depuis quelques années, on en parles même dans les journaux grands public. Bref chacun son passe temps...

[pierre.E]

a c est donc ca le byte lock

[Flodelarab]

Ahhhhh, c'est donc ça "sticky bit" ?
Ça bouge plus.

[Christian_B]

jouet sexuel de chasteté “intelligents”

Un outil de chasteté qui est un "jouet" et "intelligent" en plus, ça fait deux oxymores franchement surréalistes. Il est surprenant que l'article ne mette pas en cause l'engin mais seulement ses bogues.

Il fonctionne en permettant à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile.

Le rêve de toutes les jalouses (et les homos jaloux) enfin devenu réalité.

Toutefois, cette opération nécessite des coupe-boulons ou une meuleuse d'angle, et est rendue plus délicate par le fait que la manille est fermement attachée autour des glandes génitales de l'utilisateur.

ouille, ouille, ouille, mes *ouilles.

Cette superbe invention mériterait le prix Ignobel !!!

Bonne idée, ce sera peut-être le cas.

ça fait hélas partie de la décadence de notre civilisation.

N'exagérons pas, "quelques dizaines de milliers" ça fait à tout casser 1 pour 100 000. D'ailleurs les pratiques tordues ne sont pas nouvelles. Cet article est plutôt ne nature à déclencher une franche hilarité (comme le montrent la plupart des commentaires), contrairement à beaucoup de nouvelles plus affligeantes.

[Stéphane le calme]

Un pirate prend le contrôle de plusieurs ceintures de chasteté Cellmate, les verrouille et demande le paiement d'une rançon.
Des chercheurs avaient découvert l'existence d'une faille en octobre

En octobre dernier, Pen Test Partners, une entreprise britannique de sécurité informatique, a découvert une vulnérabilité dans la ceinture de chasteté connectée développée par Cellmate et utilisée par des dizaines de milliers de personnes dans le monde. L’entreprise a déclaré que la faille dans le verrou de chasteté connecté à Internet aurait pu permettre à n’importe qui de verrouiller à distance et de façon permanente l'appareil génital de l'utilisateur, une situation qui peut rapidement devenir critique.

Cellmate est une ceinture masculine de chasteté connectée à Internet conçue par la société chinoise Qiui. Ce serait le tout premier dispositif de chasteté contrôlé par une application au monde. La ceinture de chasteté permet à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.

Tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.

Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing.

Pen Test Partners a déclaré que les conséquences d'une faille de sécurité majeure dans cette ceinture masculine de chasteté qui a gagné en popularité populaire pourraient être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde qui s'en servent. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la ceinture a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle du dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la ceinture.

Puis le scénario catastrophe se réalise

C'est exactement ce qui s'est passé, selon un chercheur en sécurité qui a obtenu des captures d'écran de conversations entre un pirate informatique et plusieurs victimes, et selon des victimes interrogées par des médias américains. Le chercheur en sécurité se fait appeler Smelly et est le fondateur de vx-underground, un site Web qui recueille des échantillons de logiciels malveillants.

Une victime, qui a demandé à être identifiée uniquement comme étant Robert, a déclaré avoir reçu un message d'un pirate informatique demandant un paiement de 0,02 bitcoin (environ 578 € aujourd'hui) pour déverrouiller l'appareil. Il a réalisé que la ceinture était définitivement « verrouillée » et qu'il « ne pouvait pas y accéder ».

« Heureusement que je ne la portais pas lorsque cela s'est produit », a déclaré Robert dans une discussion en ligne.

« Je n'étais plus le propriétaire de la ceinture, donc je n'avais pas le contrôle total sur la ceinture à un moment donné », s'est réjouie une autre victime du nom de RJ. RJ a déclaré avoir reçu un message du pirate informatique, qui a déclaré qu'il contrôlait la ceinture et souhaitait qu'il procède au paiement de la rançon pour la déverrouiller.

Ces piratages servent de piqûre de rappel pour indiquer que ce n'est pas parce que presque tous les appareils peuvent être connectés à Internet qu'ils doivent nécessairement l'être. Les pannes peuvent rendre ces appareils connectés inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut en faire des cibles facilement piratées. Si l’IdO est un jeune domaine avec un grand potentiel, les chercheurs préconisent qu'il y ait une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.

Alex Lomas, chercheur en sécurité chez Pentest Partners, qui a audité le dispositif Cellmate, a confirmé que certains utilisateurs avaient reçu les messages d'extorsion, et a déclaré que cela soulignait la nécessité de meilleures pratiques de sécurité.

« Presque toutes les entreprises et tous les produits vont avoir une sorte de vulnérabilité au cours de leur vie. Peut-être pas aussi grave que celle-ci, mais il y aura forcément quelque chose », a déclaré Lomas. « Il est important que toutes les entreprises disposent d'un moyen pour les chercheurs de les contacter et de rester en contact avec elles ».

Comme d'habitude, il faut faire attention aux appareils auxquels vous confiez vos données ou, dans ce cas, vos parties intimes.

Source : MB

Et vous ?

Que pensez-vous de l'IdO en général ?
Avez-vous des appareils connectés ? Font-ils office de gadget ou vous apportent-ils une utilité réelle ?
Êtes-vous pour ou contre une réglementation de l'IdO qui exigerait par exemple un minimum de sécurité dès lors qu'un outil peut être connecté ?
Si oui, estimez-vous qu'une telle réglementation devrait être appliquée au même niveau à tous les appareils connectés, que le piratage puisse avoir des conséquences plus dramatiques ou non ?

Voir aussi :

Pour une fois, des politiciens arrivent à sortir une loi sur l'IT qui n'est pas insensée le Congrès US adopte une loi qui exige que les dispositifs IdO répondent à certaines normes de sécurité
Microsoft annonce la disponibilité générale d'Azure Sphere, sa solution pour sécuriser l'IdO qui comporte un système d'exploitation basé sur un noyau Linux personnalisé
Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable

[gros_rougeot]

Ne leur reste plus qu'aller voir le mécano du coin pour attaquer le dit objet à la disqueuse.

[pierre-y]

"ceintures de chasteté"

...
Et dire qu'il y a surement des prototypes qui trainent quelque part pour boucher aussi l'anus et la bouche histoire de forcer encore plus sur la connerie humaine et ces produits dérivé. Pour le coup, je trouve ce piratage hilarant. Vue l'engin, ça doit être discret dans le pantalon.

[Anselme45]

Il faut avouer que l'histoire fait sourire...

Mais quand on prend un peu de recule, il faut reconnaître que:

1. La majorité des applications commercialisées de l'internet des objets concernent des "applications gadget". Cette "ceintures de la chasteté" en est le parfait exemple.

2. Les gens sont prêts à acheté n'importe quoi

3. Il est impossible de faire de l'internet des objets sans risquer le hacking... C'est peut-être pour cela que le marché ne propose que des "applications gadget"