Hot: Adeptes de sex-toys connectés, vous allez trembler... de peur!

Publié

HotAdeptes de sex-toys connectés, vous allez trembler... de peur!

Les sex-toys 2.0 sont de plus en plus faciles à pirater. Un chercheur en sécurité en a fait la démonstration avec une marque disponible en Suisse.

par
Christophe Pinol
Connecté, voici le PantyBuster, un stimulateur clitoridien se glissant discrètement dans la culotte, et pilotable à distance par un partenaire coquin.

Connecté, voici le PantyBuster, un stimulateur clitoridien se glissant discrètement dans la culotte, et pilotable à distance par un partenaire coquin.

DR

En pleine effervescence du CES de Las Vegas, alors que les objets connectés les plus innovants sont sous le feu des projecteurs, les thèmes de la sécurité et de la protection des données sont plus d'actualité que jamais. Et dans le genre « données sensibles », celles qui se rapportent à notre intimité, et plus particulièrement à notre sexualité, comptent parmi les plus délicats. Qui a en effet envie de voir étalé au grand jour les détails de ce qu'on fait sous la couette (et ailleurs), seul ou à plusieurs?

A ce niveau-là, certains sex-toys connectés font plus trembler de peur que de plaisir et l'on réfléchira à deux fois avant de jeter son dévolu sur l'un d'eux. En 2017 déjà, le cabinet Pen Test Partners avait démontré qu'il était facile pour un pirate de prendre le contrôle d'un jouet sexuel fonctionnant en Bluetooth Smart (BLE) à proximité du domicile de l'utilisateur.

Aujourd'hui, c'est au tour d'un expert en sécurité informatique autrichien, Werner Schober, de la société SEC Consult, d'ajouter sa pierre à l'édifice. Il y a quelques jours, à Leipzig, lors du 35e Chaos Communication Congress, celui-ci démontrait le manque de rigueur en la matière de la marque Vibratissimo, disponible en Suisse sur des sites comme Kiss Kiss ou Galaxus. La société allemande propose dans son catalogue une vaste gamme d'objets sexuels 2.0 (boules de geisha, godemichets, plugs anal) mais c'est son PantyBuster, un stimulateur clitoridien se glissant discrètement dans la culotte, et pilotable à distance par un partenaire coquin, via son application dédiée, qui y était particulièrement visé. Car l'appareil, en outre de proposer des fonctions de réseau social, des possibilités de chat – en privé ou groupé –, des listes d'amis et des galeries d'images pour échanger ses meilleurs clichés, rassemble à peu près ce que l'on fait de pire en matière de protection de données.

Une protection des données inexistante

En se penchant sur le site internet du fabricant, Warner Schober, était tout d'abord tombé sur un simple fichier de configuration qui lui avait permis d'accéder à une base de données interne où il avait très simplement (à travers une manipulation à la portée de tous les pirates du dimanche) pu accéder aux données personnelles des utilisateurs: nom, adresse, email, mot de passe, photos intimes… «Ce qui est fou, c'est que les failles démontrées par ce chercheur sont des plus basiques, confirme Stéphane Koch, expert romand en sécurité de l'information et en stratégie numérique: un vrai travail d'amateur de la part du concepteur du site.

C'est d'ailleurs souvent le problème de ce type d'appareils: attirées par des opportunités commerciales, des entreprises, nouveaux venus dans le domaine des objets connectés, se retrouvent incapables de maîtriser les technologies de réseau et de transmission de données».

Werner Schorer avait ensuite réalisé qu'il pouvait non seulement lui aussi très facilement pirater et prendre le contrôle par Bluetooth d'un PantyBuster situé à proximité, mais également faire vibrer celui d'autres utilisateurs inscrits sur le site, même s'ils se trouvent à l'autre bout du monde. Une découverte qui l'avait incité à se poser cette délicate question: le piratage d'un sex-toy et son contrôle à distance sans consentement s'apparente-t-il à un viol? «C'est un problème épineux, concède Stéphane Koch.

Le viol par internet est une réalité. Un tribunal en Belgique a par exemple récemment reconnu coupable de «viol à distance» un homme qui avait fait chanter une jeune femme en la forçant à faire des choses devant sa caméra, sous la menace de diffuser des images d'elle nue à son entourage. Avec Vibratissimo, c'est différent dans la mesure où la personne perdant la maîtrise de son objet pourrait immédiatement le retirer. Il s'agirait alors clairement d'une agression à caractère sexuel, oui, mais l'aspect de la contrainte physique ou psychologique du viol y serait absente…».

La RGPD pour se protéger

Alors comment se protéger? «C'est difficile, admet notre expert. En partie à cause des utilisateurs d'objets connectés en général qui rechignent à acheter des appareils dont les protocoles de sécurité sont trop compliqués à mettre en place. Les fabricants font donc de moins en moins d'efforts à ce niveau tout en simplifiant la fabrication des objets. Heureusement, la RGPD (ndlr: le nouveau règlement européen sur la protection des données, entré en vigueur l'année passée) se charge de responsabiliser les entreprises en sanctionnant lourdement celles qui ne respectent pas les lois». L'expert recommande ainsi d'acheter des produits européens, justement soumis à la législation de la RGPD, avec la possibilité de se retourner contre eux en cas de problème.

De son côté, Vibratissimo assure aujourd'hui que les failles de l'application et du site internet ont été corrigées. Reste que l'appareil lui-même, incapable de faire une mise à jour à distance de son système d'exploitation, n'a pas pour autant été sécurisé. Il faudrait pour cela que les utilisateurs prennent la peine de le retourner au fabricant. Ce que bien peu risquent de faire…

Objets connectés : la menace s'intensifie

Le CES récompense un gode avant de le bannir

Ton opinion