We-Vibe.

L'utilisation d'une méthode de jumelage à la sécurité fragile.

Le dernier rapport en la matière des chercheurs d'EST, Le sexe à l'ère numérique - Les objets sexuels connectés sont-ils sécurisés ?, fait état des découvertes inquiétantes des spécialistes de la cybersécurité, qui ont décelé des failles de sécurité dans les applications contrôlant deux des sex-toys les plus vendus du marché : le We-Vibe Jive et le Lovense Max. Pour y parvenir, ils ont d'abord téléchargé les applications correspondantes (We-Connect et Lovense Remote) et utilisé des frameworks d'analyse de vulnérabilités, avant de procéder à de l'analyse directe.

Le premier des deux appareils, We-Vibe, fait en sorte de signaler sa présence un peu tout le temps, un peu partout, puisqu'il est un objet mobile et facilement transportable. Cela signifie que tout individu équipé d'un scanner Bluetooth peut, jusqu'à huit mètres de distance, détecter l'objet. Une personne malveillante pourrait très bien identifier l'appareil, qui agirait comme un aimant jusqu'à lui.

L'inconvénient du vibromasseur We-Vibe est qu'il utilise la méthode de jumelage la moins sécurisée. Pour vous donner une idée : le code clé temporaire utilisé par les objets pendant l'association est... le chiffre zéro uniquement. Cela veut dire que tout appareil (mobile, tablette ou ordinateur) peut s'y connecter en utilisant zéro comme clé. Pas de vérification ni d'authentification. Un détail qui rend le We-Bide Jive vulnérable aux attaques dites de « l'homme du milieu » (man-in-the-middle attack ou MitM), qui permettent d'intercepter des fichiers partagés.

Certaines métadonnées sont exposées du moment qu'elles sont rattachées aux fichiers partagés. ESET évoque notamment les photos envoyées par les utilisateurs à un téléphone à distance, qui donnent ainsi des informations sur l'appareil et leur géolocalisation très précise. Les chats échangés dans le cadre des applications, eux, restent protégés puisque enregistrés dans les dossiers de stockage privés de l'application.