Sarah Jamie Lewis travaille depuis plusieurs années comme chercheuse en sécurité et elle s’est récemment lancé un défi insolite : prendre le contrôle d’un sextoy connecté à distance.
Le monde est de plus en plus connecté et il en va évidemment de même pour notre sexualité. Bien conscients des évolutions du marché, les fabricants de sextoys sont donc nombreux à proposer à leurs clients des produits pouvant être pilotés à distance… avec tous les risques que cela comporte.
Ces produits pèchent en effet souvent par leur sécurité et c’est précisément ce que prouve l’étonnante expérience menée par Sarah Jamie Lewis.
Un sextoy piloté par la messagerie Ricochet
La hackeuse souhaitait déterminer s’il était possible de prendre le contrôle d’un de ces produits à distance en passant par une messagerie totalement anonymisée. Après avoir fait le tour des fabricants spécialisés, elle a fini par se procurer un Nova et donc un produit de la marque canadienne We-Wibe.
Une fois le produit reçu, Sarah a fait appel à ses dons en matière d’ingénierie inversée pour examiner le fonctionnement du godemiché vibrant et trouver une faille exploitable. Elle a ensuite modifié Ricochet, un programme de messagerie chiffré, afin de le connecter au sextoy et elle l’a pourvu de nouvelles commandes pour pouvoir allumer le produit ou même modifier l’intensité de ses vibrations.
L’expérience a été un succès total et elle a même invité nos confrères de Motherboard à tester sa solution afin d’en éprouver le fonctionnement.
Quels enseignements tirer de cette expérience ? Tout simplement que les sextoys et le chiffrement ne sont pas forcément antagonistes. En contrôlant le godemiché avec Ricochet, Sarah a en effet prouvé qu’il était tout à fait possible de développer une application sécurisée et respectueuse de la vie privée de ses utilisateurs.
Une initiative qui ne manque pas d’ironie
Toutefois, l’exercice montre aussi que les fabricants spécialisés ne font pas suffisamment d’efforts pour sécuriser leurs produits.
Une chose est sûre, l’initiative de la hackeuse ne manque pas d’ironie. Standard Innovation, la maison-mère de We-Vibe, a en effet été mêlé à une sombre histoire de détournement de données privées l’année dernière.
En analysant le fonctionnement de l’application mobile du fabricant, des hackers ont en effet réalisé qu’elle envoyait à intervalles réguliers des données en direction d’un serveur appartenant à la compagnie, des données liées notamment à l’utilisation de ses produits. Pour éviter le procès, l’entreprise a été obligée de verser des millions de dollars aux plaignants.
En attendant, si vous voulez en savoir plus sur la solution mise au point par Sarah, vous pouvez vous rendre sur le Github du projet pour télécharger ses sources.