Actualités de la sécurité

Une faille de sécurité majeure a été découverte dans un sex toy connecté

Emma McGowan, 16 décembre 2020

Avant d’utiliser un appareil, assurez-vous qu’il ne s’agit pas d’un abandonware (logiciel abandonné).

L’Internet des objets (IoT) évoque souvent des objets « intelligents » pour la maison. Un frigo, une machine à café, un assistant virtuel… Une autre catégorie d’objets est cependant de plus en plus connectée : les sex toys. Et comme tout objet connecté conçu sans tenir compte de l’aspect sécuritaire, les sex toys connectés peuvent exposer la sécurité ou la confidentialité des utilisateurs. 

Pour les amateurs de gadgets sexuels, un produit de rêve a récemment fait parler de lui : Qiui Cellmate, une ceinture de chasteté pour hommes qu’on peut bloquer ou débloquer via une application ou une connexion Bluetooth.

Les utilisateurs ont vite déchanté lorsqu’ils ont appris que le système de verrouillage comportait une faille de sécurité majeure. Selon l’entreprise d’audit de sécurité Pen Test Partners, l’API utilisée pour connecter l’application au gadget avait été laissée ouverte et était accessible sans mot de passe. Avec un peu de savoir-faire, n’importe qui pouvait pirater l’objet, le contrôler ou obtenir l’emplacement et les messages privés des utilisateurs. 

Pen Test Partners explique sur son blog : « Nous avons découvert que des pirates pouvaient verrouiller l’objet à distance et ainsi coincer le pénis de son utilisateur. La ceinture est verrouillée par un anneau en acier et il n’y a pas de clé physique. Pour se libérer, l’utilisateur doit utiliser une meuleuse ou autre outil de gros bricolage ».

Comme si l’effroi de devoir libérer ses parties génitales à l’aide d’une meuleuse ne suffisait pas, Pen Test souligne que les données de localisation peuvent causer des problèmes juridiques aux utilisateurs vivant dans des pays oppressifs. Et les exposer au chantage, où qu’ils se trouvent.

J’écris sur les sex toys télédildoniques depuis bientôt 10 ans et je peux affirmer qu’à la base, ces jouets n’ont pas été conçus dans une optique de sécurité ou de respect de la vie privée. En fait, la plupart d’entre eux n’ont pas été conçus par des experts en technologie, juste par des amateurs avides de partager leur invention. Au lieu de se demander « Comment assurer la sécurité de nos utilisateurs ? », ils se disaient plutôt « Génial, regardez ce qu’on peut faire avec ce nouveau jouet ! ».

Liz Klinger, PDG de Lioness, une société d’objets télédildoniques dont la sécurité a obtenu un 5/5 dans le  rapport *confidentialité non incluse de Mozilla, explique que beaucoup des créateurs de sex toys sont des fabricants, pas des développeurs.

Elle déclare : « Bien souvent, les entreprises qui créent des sex toys intelligents ou des objets avec une part de technologie sont avant tout des fabricants. Ils savent comment fabriquer des produits, mais ils n’ont pas les compétences informatiques requises. Cela pose un énorme problème lorsqu’il s’agit de connecter un produit à Internet ».

Suite au scandale We-Vibe (l’entreprise a été poursuivie pour avoir collecté des données et des informations très personnelles sans le consentement de ses utilisateurs) et au vu de l’intérêt croissant porté à la confidentialité et à la sécurité des données, les sex toys connectés haut de gamme veillent à ce que ces aspects soient une priorité dès le stade de conception. 

Par exemple, Lioness produit un vibromasseur permettant à ses utilisateurs d’avoir un aperçu graphique de leurs orgasmes. Depuis sa création en 2013, la société emploie un directeur technique pour assurer l’intégration d’un système de sécurité. Première étape : collecter le strict minimum de données personnelles. 

Liz Klinger explique : « Moins vous avez de données, mieux c’est. Ne collectez que les données nécessaires au fonctionnement de l’objet. Il s’agit d’aller à l’opposé de la logique de Google ou de Facebook, qui collectent un maximum de données au cas où elles leur seraient un jour utiles. Mais au final, c’est une responsabilité, pour vous et vos clients ». 

Deuxième étape : les données collectées par Lioness sont non seulement chiffrées et anonymisées, mais aussi stockées dans différents endroits. De la sorte, même si un cybercriminel parvenait à accéder au système de Lioness, il n’obtiendrait que des graphiques de vibrations de planchers pelviens anonymes. « C’est beaucoup moins palpitant que de savoir que Jérôme Dupont a utilisé son vibromasseur à Toronto à minuit et demi », ajoute Liz Klinger.

Si vous êtes un amateur de jouets sexuels connectés qui tient à préserver sa vie privée, Liz Klinger vous recommande d’utiliser une marque ayant une politique de protection de la vie privée claire et explicite sur ce que l’entreprise fait ou non. Ensuite, elle suggère de contacter l’entreprise pour poser des questions. Si vous ne recevez pas de réponse ou que celle-ci n’est pas appropriée, mieux vaut éviter l’entreprise. 

Avant d’acheter un objet connecté (car les sex toys ne sont pas les seuls concernés), regardez aussi si l’entreprise publie régulièrement des correctifs de sécurité. Si ce n’est pas le cas, c’est mauvais signe, comme l’explique Martin Hron, chercheur chez Avast :

« Si le site du fournisseur est en HTTP au lieu de HTTPS ou qu’il n’a pas été mis à jour depuis longtemps, c’est qu’il doit y avoir un problème et qu’il vaut mieux éviter ce produit. De même,  s’il n’y a pas de service client, de correctif ou de mise à jour, ou que ceux-ci sont anciens ou obsolètes, soit il s’agit d’un appareil sans défaut, soit c’est un abandonware (logiciel abandonné). Il s’agit d’appareils qui ne sont pas pris en charge par leur fournisseur et qui ne reçoivent pas de mises à jour ou de correctifs parce qu’ils ont été remplacés par un modèle plus récent ».   

Autre conseil de Liz Klinger : « Et pitié, n’achetez pas d’objet connecté sur AliExpress. Les entreprises basées hors d’Amérique du Nord ou d’Europe ne tiennent pas assez compte du respect de la vie privée et de la sécurité des utilisateurs. Elles n’ont pas encore compris l’importance qu’y attachent les clients ici ».