Pirater des sextoys connectés, une partie de plaisir
Pirater des sextoys connectés, une partie de plaisir
Par Pauline Croquet (Envoyée spéciale à Leipzig)
Un nombre important de failles de sécurité informatique pourraient mettre en péril la vie privée de certains utilisateurs et certaines utilisatrices de jouets sexuels.
En matière de sécurité, les sextoys connectés font plus trembler de peur que vibrer de plaisir. Werner Schober, consultant en sécurité informatique autrichien, en a apporté une nouvelle preuve lors du 35e Chaos Communication Congress, grand rassemblement annuel de hackeurs, qui se clôture dimanche 30 décembre à Leipzig (Allemagne).
Ce spécialiste, qui a publié en février les résultats de ses travaux sur ce sujet, entend mettre en lumière les enjeux en matière d’Internet des objets. « J’ai choisi une catégorie d’objets dont les vulnérabilités auraient des conséquences critiques », explique en préambule le conférencier. En se penchant sur trois modèles de sextoys connectés – deux Chinois et un Allemand –, il a mis en évidence « un abysse de failles » et prouvé la négligence des fabricants de sextoys en matière de sécurité. « Certaines failles pourraient véritablement affecter la vie privée des utilisateurs », précise le spécialiste.
Une liste de détenteurs sans protection
Lors de sa démonstration à Leipzig, Werner Schober s’est concentré sur l’un des trois produits, le Vibratissimo Panty Buster, fabriqué en Allemagne et commercialisé aux alentours de 40 euros. Un vibromasseur connecté, qui se glisse dans la culotte et que les utilisateurs et utilisatrices peuvent activer via une application ou le Bluetooth sur leur smartphone servant de télécommande.
Lors de son enquête, à l’aide d’un simple fichier de configuration sur le site Web du fabricant, le chercheur a pu accéder à une base de données interne dans laquelle figurait des données personnelles telles que le nom ou l’adresse des utilisateurs. Des photos intimes, partagées par des centaines d’utilisateurs sur le petit réseau social proposé en parallèle de ce sextoy, étaient même facilement accessibles en ligne.
Le modèle de sextoy allemand au cœur de la présentation et des inquiétudes de Werner Schober. / Vibratissimo.com
Une prise de contrôle à distance possible
Le spécialiste a également démontré qu’il était possible pour un tiers de prendre le contrôle à distance du sextoy.
L’application mobile permet de générer un lien, qui, envoyé par e-mail ou SMS, permet à un ou une complice de faire vibrer son sextoy à distance. Le chercheur a découvert qu’il suffisait de modifier ce lien pour faire vibrer des culottes inconnues au hasard. Par ailleurs, la connexion Bluetooth n’étant pas suffisamment sécurisée, quiconque se trouvant à proximité d’un sextoy peut s’y connecter via son smartphone et l’activer.
Et le spécialiste de soulever une question délicate : un contrôle à distance et sans consentement d’un sextoy peut-il s’apparenter à du viol ? Il se demande ainsi, sans répondre, comment les législations pénales prendraient en compte ces cas de figure.
Le spécialiste s’est rapproché du fabricant pour signaler les failles afin qu’il les corrige. Si ce dernier s’est exécuté, les sextoys n’ont pas été pour autant totalement sécurisés. En effet, le système d’exploitation ne pouvant être mis à jour à distance, les détenteurs et détentrices auraient dû les renvoyer à l’usine.
Nos articles en direct du Chaos Communication Congress
Le Chaos Communication Congress est la grand-messe des hackers, qui se tient tous les ans en Allemagne. Au fil des conférences et des ateliers, on y réfléchit à l’impact de la technologie sur la société. Voici les articles de nos envoyés spéciaux :
- Un chercheur a démontré que l’élection présidentielle américaine de 2020 est vulnérable à un piratage informatique.
- A quoi va ressembler le système chinois de notation de ses citoyens ? Difficile à dire, mais les premières ébauches sont inquiétantes.
- Une feuille imprimée et de la cire d’abeille : c’est ce qu’il faut pour duper certains systèmes d’identification biométrique.
- Une ONG a montré que les applications pour smartphones Android envoyaient à Facebook de nombreuses données sur leurs utilisateurs, même quand ces derniers ne disposaient pas de compte sur le réseau social.