IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 746
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 746
    Points : 40 285
    Points
    40 285
    Par défaut Des jouets sexuels intelligents populaires contiennent des vulnérabilités critiques
    Des jouets sexuels intelligents populaires contiennent des vulnérabilités critiques qui pourraient compromettre la confidentialité des images intimes
    qu'un utilisateur partage avec un autre, selon ESET

    Le piratage des ceintures de chasteté Cellmate de la société chinoise Qiui en janvier dernier a révélé qu'en dehors des appareils IdO traditionnels, les pirates s'intéressaient désormais aussi à ce type de dispositifs connectés à Internet. Mais, alors que la pandémie du Covid-19 a requis la mesure de la distanciation sociale, elle aurait, dans le même, fait exploser les ventes de jouets sexuels intelligents (connectés). Un récent rapport de la société d'antivirus ESET a révélé que les jouets sexuels intelligents ont une couche de sécurité "fragile". Plus inquiétant encore, les jouets sexuels intelligents les plus populaires seraient ceux qui ont une sécurité "médiocre".

    Tous les objets ou appareils sont-ils bons à connecter à Internet ?

    Ou plutôt, les jouets sexuels devraient-ils être des appareils IdO ? Il y a des pour et des contre, et force est de constater que les jouets sexuels intelligents ont un marché, et les ventes de ses dispositifs seraient en forte croissance. Les jouets sexuels intelligents sont dotés de nombreuses fonctionnalités, notamment : connectivité Internet, télécommande, liaisons Bluetooth, vidéo, messagerie, applications pour mesurer et surveiller les réactions, etc. Cependant, il semble que les jouets sexuels intelligents soient aujourd'hui tout sauf "intelligents en matière de sécurité et de vie privée".

    Nom : cellmate-chastity-lock.jpg
Affichages : 1260
Taille : 15,0 Ko

    En effet, un livre blanc (The Sex in the Digital Era – How secure are smart sex toys?) publié aujourd'hui par ESET, qui explore la posture de sécurité de ces appareils, a révélé qu'ils renfermaient des vulnérabilités critiques. Le rapport a étudié particulièrement deux produits développés par WOW Tech Group et Lovense, dont les appareils comptent parmi les plus populaires sur le marché. Le premier appareil est "We-Vibe Jive", un vibromasseur féminin compatible Bluetooth qui peut être connecté à l'application mobile "We-Connect" pour contrôler les vibrations et transmettre le contrôle à un partenaire.

    Le deuxième produit examiné est le "Lovense Max", un manchon de masturbation pour homme. Il peut lui aussi se connecter à une application mobile appelée Lovense Remote. Cette dernière offre des fonctionnalités telles que "le contrôle local, le contrôle à distance, les vibrations basées sur la musique, la création et le partage de motifs, l'envoi de motifs synchronisant deux jouets ensemble, [et] les vibrations activées par le son". Les chercheurs ont déclaré qu'avant la découverte des failles, ces deux dispositifs étaient malheureusement encore à la traîne en ce qui concerne les mesures de sécurité de base.

    Pour le We-Vibe Jive et le Lovense Max, les chercheurs ont examiné la sécurité entre les appareils et les applications. Les deux appareils utilisent les technologies Bluetooth Low Energy (BLE), qui, bien qu'utiles pour maintenir une faible consommation d'énergie, ne sont pas nécessairement très sécurisées. Le We-Vibe Jive réduit au minimum la collecte de données sur l'utilisateur, mais utilise la moins sûre des options d'appairage BLE. En fait, un code temporaire utilisé pour connecter le We-Vibe Jive à l'application We-Connect est réglé sur zéro.

    Par conséquent, l'appareil était exposé à des attaques de type "Man-in-The-Middle" (MitM), dans lesquelles n'importe quel smartphone ou PC non authentifié pouvait se connecter à un appareil physique. Comme il s'agit d'un produit portable, il est possible que les utilisateurs le portent pendant qu'ils se promènent. Ainsi, les chercheurs ont constaté que le We-Vibe Jive partageait "continuellement" sa position pour tenter d'établir une connexion. « N'importe qui peut utiliser un simple scanner Bluetooth pour trouver tout appareil de ce type à proximité », ont indiqué les chercheurs.

    « We-Vibe Jive a été conçu pour que l'utilisateur puisse le porter tout au long de sa journée, dans des restaurants, des fêtes, des hôtels ou tout autre lieu public. Dans ces situations, un attaquant pourrait identifier l'appareil et utiliser la puissance du signal de l'appareil comme une boussole pour le guider et se rapprocher petit à petit jusqu'à trouver la personne exacte qui le porte ».

    Les pirates pourraient accéder au contenu intime partagé par les utilisateurs

    Les utilisateurs peuvent partager des fichiers multimédias via We-Connect pendant les sessions de chat. Cependant, les chercheurs d'ESET ont noté que, bien que ces données soient supprimées dès la fin de la discussion, les métadonnées restent. Autrement dit, chaque fois qu'un fichier est envoyé, les données de l'appareil de l'utilisateur et sa géolocalisation ne disparaissent pas. Par ailleurs, les chercheurs ont déclaré que l'absence de protection contre les attaques par force brute lors des tentatives d'accès au code PIN des applications constitue un autre problème de confidentialité.

    Nom : screenshot-2021-03-09-at-15-27-23.png
Affichages : 1207
Taille : 453,4 Ko

    Le rapport révèle que le Lovense Max contenait un certain nombre de choix de conception "controversés" qui pourraient compromettre la confidentialité des images intimes qu'un utilisateur partage avec un autre. Parmi ces choix, citons l'option permettant de télécharger et de transmettre des images à des tiers à l'insu ou sans le consentement du propriétaire d'origine, et le recours au seul HTTPS et non au chiffrement de bout en bout pour les transferts d'images. En outre, alors que les utilisateurs créent souvent des noms fantaisistes, l'application "Lovense Max" utilisait leur adresse électronique, stockée en clair.

    Plus loin, les chercheurs ont également remarqué que les jetons, qui peuvent être partagés publiquement, ont également été générés à l'aide de quelques chiffres et sont restés actifs plus longtemps que prévu. Ils pouvaient donc être exposés à des attaques par force brute entraînant la divulgation d'informations. De plus, Lovense Max n'authentifiait pas non plus les connexions BLE et était donc vulnérable aux mêmes attaques MiTM que We-Vibe Jive. Quelques autres vulnérabilités moins critiques ont également été citées pour les deux appareils.

    « Les conséquences des violations de données pouvant survenir dans cette sphère peuvent être particulièrement désastreuses lorsque les informations divulguées concernent l'orientation sexuelle, les comportements sexuels et les photos intimes », ont déclaré les chercheurs d'ESET. « À mesure que le marché des jouets sexuels intelligents progresse, les fabricants doivent garder la cybersécurité en tête des préoccupations, car tout le monde a le droit d'utiliser une technologie sûre et sécurisée », ont-ils ajouté. ESET a divulgué les vulnérabilités à WOW Tech Group et Lovense en juin 2020.

    Le rapport indique que les problèmes de sécurité ont été reconnus dans les semaines qui ont suivi. Il indique également que Lovense a corrigé tous les bogues signalés le 27 juillet, tandis que la version 4.4.1 de We-Connect, publiée en août, a résolu les problèmes de PIN et de métadonnées. Lovense travaillerait actuellement pour améliorer les fonctions de confidentialité. « Nous prenons très au sérieux les rapports et les conclusions de sources externes concernant d'éventuelles vulnérabilités », a déclaré WOW Tech Group dans un communiqué. Le rapport n'a pas précisé si les vulnérabilités avaient été exploitées.

    « Nous avons eu l'occasion de corriger les vulnérabilités avant la présentation et la publication de ce rapport et nous avons depuis mis à jour l'application We-Connect pour corriger les problèmes qui sont décrits dans ce rapport », a-t-il ajouté. « Plaçant la santé et la sécurité de nos utilisateurs au premier plan, Lovense travaille sans relâche pour améliorer la cybersécurité de ses produits et solutions logicielles. Grâce à une coopération productive avec ESET Research Lab, nous avons pu détecter certaines vulnérabilités qui ont été éliminées avec succès. Lovense continuera à coopérer avec les testeurs de cybersécurité afin de garantir une sécurité maximale à tous les utilisateurs des produits Lovense », a commenté Lovense.

    Source : Livre blanc d'ESET

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des jouets sexuels connectés à Internet ?
    Pensez-vous que ce type de dispositifs doivent être connectés à Internet ? Pourquoi ?

    Voir aussi

    Cellmate, un dispositif de chasteté masculine "intelligent", présente une vulnérabilité qui fait courir aux utilisateurs le risque d'un verrouillage permanent, selon Pen Test Partners

    Un pirate prend le contrôle de plusieurs ceintures de chasteté Cellmate, les verrouille et demande le paiement d'une rançon. Des chercheurs avaient découvert l'existence d'une faille en octobre

    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS, en utilisant l'outil dédié LizardStresser

    Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés et rend l'appareil inutilisable
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    salarié
    Inscrit en
    septembre 2014
    Messages
    119
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : salarié

    Informations forums :
    Inscription : septembre 2014
    Messages : 119
    Points : 294
    Points
    294
    Par défaut
    Putain mais comment on peut vendre de telles saloperies ? Et avoir des clients ?

Discussions similaires

  1. Réponses: 1
    Dernier message: 22/07/2020, 12h59
  2. Réponses: 4
    Dernier message: 05/04/2019, 12h49
  3. Réponses: 3
    Dernier message: 27/02/2019, 14h23
  4. Afficher uniquement les données ne contenant que des chiffres
    Par le0n_95 dans le forum Développement
    Réponses: 6
    Dernier message: 06/09/2018, 09h34
  5. Réponses: 0
    Dernier message: 22/06/2013, 13h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo