Un pirate prend le contrôle de plusieurs ceintures de chasteté Cellmate et demande le paiement d'une rançon
Cellmate, un dispositif de chasteté masculine "intelligents", présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent,
selon Pen Test Partners
Une vulnérabilité présente dans un jouet sexuel de chasteté “intelligents” a fait courir aux utilisateurs le risque d'un verrouillage permanent. C’est Pen Test Partners, une entreprise britannique de sécurité informatique, qui a découvert la faille dans le gadget sexuel intelligent Cellmate utilisé par des dizaines de milliers de personnes dans le monde. L’entreprise a déclaré que la faille dans le verrou de chasteté connecté à Internet aurait pu permettre à n’importe qui de verrouiller à distance et de façon permanente l'appareil génital de l'utilisateur, une situation qui peut rapidement devenir critique.
D'après les chercheurs à l’origine de la découverte, ce n'est pas parce que presque tous les gadgets ou appareils peuvent être connectés à Internet qu'ils doivent l'être. Les pannes peuvent rendre ces appareils “intelligents” inutilisables, et beaucoup d'entre eux utilisent une sécurité faible qui peut les rendre facilement piratables. L’IdO est un jeune domaine avec un grand potentiel, mais les chercheurs préconisent qu’il doive en effet y avoir une limite quant à ce qui peut être connecté à Internet. Certains parmi eux en appellent à une réglementation des dispositifs de l’IdO.
Cellmate est une cage de chasteté masculine connectée à Internet conçue par la société chinoise Qiui. Il serait le tout premier dispositif de chasteté contrôlé par une application au monde. Il fonctionne en permettant à un partenaire de confiance de le verrouiller et de le déverrouiller à distance par Bluetooth via l'application mobile. Cette application communique avec le verrou par le biais d'une API. Mais cette API a été laissée ouverte et sans mot de passe, permettant à quiconque de prendre le contrôle complet de l'appareil de n'importe quel utilisateur.
Pen Test Partners, qui a découvert la faille, a déclaré que les conséquences d'une faille de sécurité majeure dans ce jouet sexuel populaire auraient pu être catastrophiques pour les dizaines de milliers d'utilisateurs à travers le monde. Pire encore, Cellmate n'est pas équipée d'une commande manuelle ou d'une clé physique, car la cage a été soi-disant conçue afin d’offrir une véritable expérience de chasteté. Si un pirate venait à prendre le contrôle d’un dispositif, l’utilisateur enfermé a peu de possibilités pour se libérer. Il peut toutefois essayer de couper la manille en acier trempé de la cage.
Toutefois, cette opération nécessite des coupe-boulons ou une meuleuse d'angle, et est rendue plus délicate par le fait que la manille est fermement attachée autour des glandes génitales de l'utilisateur. L'autre possibilité, découverte par Pen Test Partners, consiste à surcharger la carte de circuit imprimé contrôlant le moteur de la serrure avec trois volts d'électricité (environ 2 piles AA). La société a déclaré que l’analyse de l’API a révélé de nombreuses failles, dont une laisse fuir des données précises sur la localisation des utilisateurs, y compris des informations personnelles et des chats privés.
En effet, Pen Test Partners a déclaré avoir découvert une grave faille de sécurité dans l'application mobile : tous les terminaux de l'API n'étaient pas authentifiés et n'utilisaient qu'un “memberCode” longiligne pour faire des requêtes. Le “memberCode” lui-même est quelque peu déterministe et est basé sur la date à laquelle un utilisateur s'est inscrit au service. Mais le cabinet a trouvé un moyen encore plus simple de pénétrer le système en utilisant un “friendcode” plus court. Une requête avec ce “friendcode” à six chiffres renvoie une quantité énorme d'informations sur un utilisateur.
Il y a, entre autres, des données très sensibles comme son nom, son numéro de téléphone, sa date de naissance, les coordonnées exactes de l'endroit où l'application a été ouverte, la valeur du “memberCode” et le mot de passe en clair de l'utilisateur. Selon Pen Test Partners, il ne faudrait pas plus de deux jours à un pirate pour exfiltrer la totalité de la base de données des utilisateurs et l'utiliser à des fins de chantage ou de phishing. Le cabinet a informé Qiui de l’existence de la vulnérabilité, mais celui-ci a manqué les trois délais de remédiation qu'il s'était fixés sur une période de 6 mois.
Cela est sûrement dû au fait que la mise hors ligne de l’API vulnérable aurait enfermé toute personne utilisant l'appareil. Le développeur a proposé une nouvelle version de l’API pour les nouveaux utilisateurs, mais a laissé l'API non sécurisée pour les utilisateurs existants. Jake Guo, directeur général de Qiui, a déclaré à TechCrunch qu'une solution serait disponible en août, mais cette date limite a été dépassée. Dans un courriel de suivi expliquant les risques aux utilisateurs, Guo a déclaré : « Nous sommes une équipe de base : quand on le répare, ça crée plus de problèmes ».
Selon Pen Ten Partners, Qiui a finalement refusé d'interagir davantage pour trouver une solution à la première version de l’API. En outre, le cabinet a décidé de rendre publique la découverte quand il a remarqué qu’un autre chercheur a soulevé un problème de sécurité distinct, et qu'il avait aussi eu du mal à obtenir une réponse de Qiui. Pen Test Partners a déclaré qu’il ne sait pas si quelqu'un a exploité malicieusement l'API vulnérable. Mais il estime que de nombreux utilisateurs de l'application se sont plaints qu’elle comportait des bogues qui faisaient que l'appareil restait verrouillé.
« L'application a complètement cessé de fonctionner au bout de trois jours et je suis bloqué », a déclaré un utilisateur. Un autre a dit qu'il « s'est déjà retrouvé coincé deux fois en la portant à cause du manque de fiabilité de l'application ». « Elle a fonctionné pendant environ un mois jusqu'à ce que je sois presque coincé dedans. Heureusement, elle s'est déverrouillée de manière aléatoire et j'ai pu m'en sortir. Le dispositif a laissé une mauvaise cicatrice qui a pris près d'un mois de récupération », a déclaré un autre.
Qiui s'ajoute à une longue liste de jouets sexuels présentant des problèmes de sécurité qui n'existent pas dans les appareils non connectés à Internet. En 2016, des chercheurs affirment qu'un mouchard dans un “panty buster”, un vibromasseur alimenté par Bluetooth, permettait à n'importe qui de le contrôler à distance via Internet. De même, en 2017, un fabricant de jouets sexuels intelligents a réglé un procès après avoir été accusé de collecter et d'enregistrer des “données très intimes et sensibles” de ses utilisateurs. Ce genre d’incidents n’est pas inhabituel avec les dispositifs IdO.
« Il n'est pas inhabituel de rencontrer un tel problème dans de nombreux domaines de l'IdO, et la télédidonique ne fait pas vraiment exception », a déclaré Alex Lomas, chercheur en sécurité chez Pen Test Partners. « Nous avons nous-mêmes, ainsi que d'autres chercheurs, constaté des problèmes similaires au fil des ans chez différents fabricants de jouets sexuels. Je pense personnellement que les dispositifs les plus intimes devraient être soumis à des normes plus strictes que vos ampoules électriques ».
Source : Pen Test Partners
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Répondre avec citation
Envoyé par stigma
Partager