Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Cellmate présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent
    Cellmate, un dispositif de chasteté masculine "intelligents", présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent,
    selon Pen Test Partners

    Une vulnérabilité présente dans un jouet sexuel de chasteté “intelligents” a fait courir aux utilisateurs le risque d'un verrouillage permanent. C’est Pen Test Partners, une entreprise britannique de sécurité informatique, qui a découvert la faille dans le gadget sexuel intelligent Cellmate utilisé par des dizaines de milliers de personnes dans le monde. L’entreprise a déclaré que la faille dans le verrou de chasteté connecté à Internet aurait pu permettre à n’importe qui de verrouiller à distance et de façon permanente l'appareil génital de l'utilisateur, une situation qui peut rapidement devenir critique.

    D'après les chercheurs à l’origine de la découverte, ce n'est pas parce que presque tous les gadgets ou appareils peuvent être connectés à Internet qu'ils doivent l'être. Les pannes peuvent rendre ces appareils “intelligents” inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut les rendre facilement piratables. L’IdO est un jeune domaine avec un grand potentiel, mais les chercheurs préconisent qu’il doive en effet y avoir une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.

    Cellmate est une cage de chasteté masculine connectée à Internet conçue par la société chinoise Qiui. Il serait le tout premier dispositif de chasteté contrôlé par une application au monde. Il fonctionne en permettant à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.

    Pen Test Partners, qui a découvert la faille, a déclaré que les conséquences d'une faille de sécurité majeure dans ce jouet sexuel populaire auraient pu être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la cage a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle d’un dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la cage.


    Toutefois, cette opération nécessite des coupe-boulons ou une meuleuse d'angle, et est rendue plus délicate par le fait que la manille est fermement attachée autour des glandes génitales de l'utilisateur. L'autre possibilité, découverte par Pen Test Partners, consiste à surcharger la carte de circuit imprimé contrôlant le moteur de la serrure avec trois volts d'électricité (environ 2 piles AA). La société a déclaré que l’analyse de l’API a révélé de nombreuses failles, dont une laisse fuir des données précises sur la localisation des utilisateurs, y compris des informations personnelles et des chats privés.

    En effet, Pen Test Partners a déclaré avoir découvert une grave faille de sécurité dans l'application mobile : tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.

    Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing. Le cabinet a informé Qiui de l’existence de la vulnérabilité, mais celui-ci a manqué les trois délais de remédiation qu'il s'était fixés sur une période de 6 mois.

    Cela est sûrement dû au fait que la mise hors ligne de l’API vulnérable aurait enfermé toute personne utilisant l'appareil. Le développeur a proposé une nouvelle version de l’API pour les nouveaux utilisateurs, mais a laissé l'API non sécurisée pour les utilisateurs existants. Jake Guo, directeur général de Qiui, a déclaré à TechCrunch qu'une solution serait disponible en août, mais cette date limite a été dépassée. Dans un courriel de suivi expliquant les risques aux utilisateurs, Guo a déclaré : « Nous sommes une équipe de base : quand on le répare, ça crée plus de problèmes ».


    Selon Pen Ten Partners, Qiui a finalement refusé d'interagir davantage pour trouver une solution à la première version de l’API. En outre, le cabinet a décidé de rendre publique la découverte quand il a remarqué qu’un autre chercheur a soulevé un problème de sécurité distinct, et qu'il avait aussi eu du mal à obtenir une réponse de Qiui. Pen Test Partners a déclaré qu’il ne sait pas si quelqu'un a exploité malicieusement l'API vulnérable. Mais il estime que de nombreux utilisateurs de l'application se sont plaints qu’elle comportait des bogues qui faisaient que l'appareil restait verrouillé.

    « L'application a complètement cessé de fonctionner au bout de trois jours et je suis bloqué », a déclaré un utilisateur. Un autre a dit qu'il « s'est déjà retrouvé coincé deux fois en la portant à cause du manque de fiabilité de l'application ». « Elle a fonctionné pendant environ un mois jusqu'à ce que je sois presque coincé dedans. Heureusement, elle s'est déverrouillée de manière aléatoire et j'ai pu m'en sortir. Le dispositif a laissé une mauvaise cicatrice qui a pris près d'un mois de récupération », a déclaré un autre.

    Qiui s'ajoute à une longue liste de jouets sexuels présentant des problèmes de sécurité qui n'existent pas dans les appareils non connectés à Internet. En 2016, des chercheurs affirment qu'un mouchard dans un “panty buster”, un vibromasseur alimenté par Bluetooth, permettait à n'importe qui de le contrôler à distance via Internet. De même, en 2017, un fabricant de jouets sexuels intelligents a réglé un procès après avoir été accusé de collecter et d'enregistrer des “données très intimes et sensibles” de ses utilisateurs. Ce genre d’incidents n’est pas inhabituel avec les dispositifs IdO.

    « Il n'est pas inhabituel de rencontrer un tel problème dans de nombreux domaines de l'IdO, et la télédidonique ne fait pas vraiment exception », a déclaré Alex Lomas, chercheur en sécurité chez Pen Test Partners. « Nous avons nous-mêmes, ainsi que d'autres chercheurs, constaté des problèmes similaires au fil des ans chez différents fabricants de jouets sexuels. Je pense personnellement que les dispositifs les plus intimes devraient être soumis à des normes plus strictes que vos ampoules électriques ».

    Source : Pen Test Partners

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    61 % des entreprises utilisent désormais des plateformes IdO, avec un taux d'adoption plus élevé (71 %) dans le secteur des IT et des télécommunications, selon un rapport

    Le gouvernement japonais prévoit de pirater les dispositifs IoT des citoyens pour aider à les sécuriser avant les Jeux Olympiques 2020 au Japon

    Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable

    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS, en utilisant l'outil dédié LizardStresser
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Futur Membre du Club
    Et là, si t'as pas de meuleuse chez toi, t'es comme un con à aller voir ton pote pour lui demander de te libérer le chibre. On te regardera plus jamais pareil toi et ta copine/femme lors de soirées/diners...

  3. #3
    Modérateur

    Si c'est que le pote, encore.

    Imagine si tu es obligé d'appeler les pompiers ou d'aller aux urgences.

    Et puis la meuleuse à cet endroit, tu as intérêt à être habile. Faut pas déraper, sinon la castration, pour le coup, elle est définitive.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  4. #4
    Membre expérimenté
    En même temps, si tu utilises ce genre de gadgets débiles, tu mérites de crever la bite coincée dans un fourreau électronique. Ça fait le tri.
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  5. #5
    Membre expert
    Cette superbe invention mériterait le prix Ignobel !!!

    Quand on voit à quoi la technologie est employée... ça laisse songeur...

  6. #6
    Membre éprouvé
    Et il laisse des données sensibles accessibles en plus, nom, prénom, taille du p.... Quand tout le bureau l'apprend t'as l'air d'un gland

  7. #7
    Membre confirmé
    En même temps, si tu utilises ce genre de gadgets débiles, tu mérites ...
    On appelle ça "la sélection naturelle"

  8. #8
    Membre du Club
    pas ce soir cherie, je me suis fait pirater la b*te

  9. #9
    Membre chevronné
    M*rd* Maintenant youtube va me harceler avec de vidéos de tordus.

  10. #10
    Membre extrêmement actif
    Mais que... quoi... comment ? Je crois que c'est officiellement l'invention la plus stupide dont j'ai pris connaissance en 2020.
    Citation Envoyé par Un expert en programmation
    D'ailleurs il croit toujours que le JS c'est de la POO

  11. #11
    Membre habitué
    Je pense que quelqu'un à la rédaction s'est planté de bouton et a publié la blague du 1er avril en avance... J'aimerais bien voir le mode d'emploi du truc

    Peut-être que dans dix ans on aura une loi réglementant les objets connectés? Mais bon, pour le moment les législateurs découvrent les monopoles, qu'il y a des logiciels dans les appareils électroniques, qu'on ne peut rien réparer, l'usages des données personnelles, etc.... C'est sans doute trop terre-à-terre pour leurs discours voués à la postérité.

  12. #12
    Membre averti
    le monde est fou
    faut vraiment etre atteint pour 'chausser' ce truc... en tout cas ca m'aura bien fait rire

  13. #13
    Nouveau membre du Club
    Sélection naturelle
    Que les décérébrés qui utilisent ce truc ne puissent pas se reproduire pour cause de bug, cela me semble positif pour la progression de l'humanité .

  14. #14
    Membre régulier
    Non seulement ils nous infectent avec un virus synthétique, mais nous empêchent, de jouir de la vie...

  15. #15
    Membre expérimenté
    Je rêve, des dizaines de milliers d'utilisateurs pour utiliser un truc aussi débile ? Si cette info est vraie, je suis complètement désespéré quand à l'avenir de la race humaine.

  16. #16
    Membre extrêmement actif
    Personnellement j'essaye surtout de me représenter le type en train de demander à un ami (ses parents ?) d'être en charge du déverrouillage à distance du machin
    Citation Envoyé par Un expert en programmation
    D'ailleurs il croit toujours que le JS c'est de la POO

  17. #17
    Membre actif
    Ca surprend quelqu'un ?!
    Faut pas s'étonner non plus.
    Quand on réfléchi avec sa b*te, en plus rien que pour faire du fric, ça donne toujours des résultats lamentables...

  18. #18
    Modérateur

    Citation Envoyé par stigma Voir le message
    je suis complètement désespéré quand à l'avenir de la race humaine.
    Soit pas si désespérer, l'éradication de la race humaine est certainement sans doute la meilleure chose qui puisse arriver pour la vie sur terre.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  19. #19
    Membre expérimenté
    Une partie seulement va morfler grave
    Matthieu 3-12

  20. #20
    Membre du Club
    ça choque personne que ce genre de merde existe encore à notre époque? on est revenu au temps du Moyen-Age ou quoi? Sous couvert d'avancées technologiques et de progressisme on fait vraiment de la merde maintenant

###raw>template_hook.ano_emploi###