Les chercheurs britanniques de l’agence Pen Test Partners ont pour habitude de tester les systèmes de sécurité de nombreux produits, dont des objets connectés de toute sorte. Ce lundi 5 octobre, ces experts ont eu envie de mettre à l’essai la sécurité du CellMate, une ceinture de chasteté connectée pour homme.
Une ceinture de chasteté connectée potentiellement dangereuse
Fabriqué par la société chinoise Qiui, cet accessoire vendu 130 € vous permet de garder votre pénis au chaud dans une gaine, via un mécanisme pensé pour empêcher l’érection. Objet connecté oblige, le CellMate est relié à une application mobile compagnon, qui fait office de hub central. C’est notamment grâce à elle que l’utilisateur pourra activer ou désactiver le verrouillage de l’objet.
Nous n’avons aucun doute sur le fait que le CellMate trouvera preneur. Seulement, ces clients intéressés risquent d’y laisser leur membre si l’on peut dire. En effet, comme l’expliquent les chercheurs de Pen Tests Partners à nos confrères de TechCruch, ils ont découvert une faille de sécurité critique dans l’application compagnon.
Cette vulnérabilité permettra à un pirate porté sur la chose de verrouiller la ceinture de chasteté à distance, condamnant ainsi le pénis à une incarcération longue durée. Histoire de couronner le tout, les développeurs de CellMate n’ont pas jugé bon d’installer un dispositif d’ouverture d’urgence sur l’appareil. En d’autres termes, si l’application venait à être piratée, l’utilisateur n’aura pas d’autres choix que d’attaquer l’objet à la scie à métaux pour retrouver la jouissance de son service trois-pièces.
L’API est laissée sans protection
Vous vous en doutez, scie à métaux et pénis dans la même phrase, ça n’augure jamais rien de bon et il vaut mieux filer directement à l’hôpital dans cette situation plutôt que de se la jouer MacGyver. Voyez-vous, le déverrouillage de l’appareil est effectué via une connexion Bluetooth entre le CellMate et l’application mobile.
La communication passe par une API qui n’est protégée par aucun mot de passe. En d’autres termes, n’importe quel hacker peut s’introduire dans le système, faute de cybersécurité. Comme le précisent les chercheurs, il n’y pas grand-chose à faire pour régler le problème : il suffit de doter l’API d’une protection. Seulement il semblerait que ce ne soit pas aussi simple du côté des développeurs.
Après plus de six mois de travaux et trois mises à jour, les nouveaux CellMate proposés à la vente sont effectivement débarrassés du problème. Mais pas les anciens modèles… La déclaration officielle des développeurs sur le sujet vaut son pesant de cacahuètes : « Nous sommes une petite équipe dans un sous-sol. Quand nous réparons, ça crée encore plus de problèmes ». Comme quoi, rien ne vaut une bonne vieille ceinture de chasteté en fer forgé et une serrure à l’ancienne.
Source : Numerama
