Clicky

Il va falloir vous méfier sérieusement de votre sextoy connecté

Alex Thomas, un chercheur en sécurité travaillant pour Pen Test Partners, s’est récemment intéressé aux sextoys connectés et il a ainsi mené une étude visant à en éprouver la sécurité. Le résultat se passe de commentaire.

Le monde a bien changé en l’espace de quelques décennies. Désormais, nous avons tous un ordinateur au fond de notre poche et nous sommes même capables de commander nos luminaires ou notre thermostat à la voix grâce aux nombreuses solutions domotiques présentes sur le marché.

Contrôler sextoys par la pensée

Cette dynamique ne se limite évidemment pas au secteur de la domotique et les fabricants de sextoys ont ainsi très vite commencé à produire des objets plus intelligents et plus connectés afin de se démarquer de la concurrence.

Les sextoys connectés ont un problème de sécurité

Alex Lomas s’intéresse depuis longtemps au secteur de l’IoT et l’homme a récemment mené une étude poussée sur un produit très populaire commercialisé par la société Lovense : le Hush.

Cet appareil vient se ranger dans la catégorie des plugs anals connectés et il est donc possible de prendre le contrôle de son vibreur à distance en s’appuyant sur une application mobile dédiée spécialement à la chose.

En examinant le fonctionnement du produit, l’expert a donc trouvé plusieurs problèmes de sécurité majeurs, des problèmes liés à la fois à son fonctionnement et à la manière dont il communique avec le smartphone de son propriétaire.

Lorsque l’utilisateur allume l’appareil, ce dernier se mettra en effet en mode découverte et il deviendra alors détectable par n’importe quel smartphone. Pour ne rien arranger, tous les exemplaires du produit sont désignés par le même identifiant, un identifiant facile à retenir.

Les constructeurs doivent mettre en place de nouvelles protections

Intrigué, Alex Lomas a poursuivi ses investigations et il a alors réalisé que le Hush ne demandait aucun code numérique pour se connecter à l’application de son constructeur. N’importe quel passant peut donc en prendre le contrôle et modifier ensuite l’intensité de son vibreur.

Contrairement à ce que l’on pourrait croire, ces failles ne sont pas rares et le chercheur a ainsi trouvé les mêmes limitations sur la plupart des produits connectés du marché, des produits proposés par divers constructeurs.

Le problème, bien sûr, c’est que ces failles sont très difficiles à corriger.

Les constructeurs doivent en effet s’assurer que leurs produits soient suffisamment faciles à utiliser pour être accessibles auprès du plus grand nombre et il est en outre impossible d’intégrer des boutons ou des écrans de contrôle à ce type d’accessoires compte tenu de leur nature.

La seule solution pour éviter les mauvaises surprises serait donc d’opter à chaque fois pour un identifiant et un code numérique unique pouvant être aisément modifié au travers de l’application associée. Ce qui n’est bien entendu pas simple à mettre en oeuvre.

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.