Un pirate informatique a réussi à prendre le contrôle d’un certain nombre de cages de chasteté masculine connectée. Il demandait aux victimes 0,02 bitcoins pour les libérer. Cette faible de sécurité avait pourtant déjà été signalée à l’entreprise qui commercialise le sex toy.
S‘il y a une industrie qui a embrassé à pleine bouche les merveilles de la connectivité, c’est celle des jouets coquins pour adultes. On ne compte plus le nombre de vibromasseurs promettant le contrôle du plaisir à distance, un vrai déclic pour réveiller la libido en couple. Mais qui dit connectivité, implique aussi failles de sécurité. Les chercheurs en sécurité de Pen Test Partners préviennent les amateurs du Cellmate Chastity Cage d’une sérieuse vulnérabilité Bluetooth assez handicapante : un membre mal intentionné de la confrérie des malandrins serait, à distance et sans piper mot, en mesure de bloquer l’appareil.
600 euros pour être libéré
La cage de chasteté fabriquée en Chine et vendue 160 euros est conçue pour être portée sur le long terme. Une fois verrouillé, le retrait du pénis du rendue volontairement difficile. « Nous avons découvert qu’à distance, des hackers peuvent empêcher l’ouverture du verrou bluetooth laissant le sexe de l’utilisateur coincé dans l’appareil », indiquait déjà il y a quatre mois Pen Test Partners, une société spécialisée dans la cyber sécurité.
Et c’est exactement ce qu’il s’est passé. Robert a reçu un message du malandrin : “Ta bite m’appartient maintenant”, lui réclamant environ 600 euros pour déverrouiller le dispositif. Il regarde alors sa cage et voit effectivement qu’elle est verrouillée et qu’il ne peut pas l’ouvrir. « Heureusement, je ne la portais pas quand c’est arrivé », raconte-t-il.
Une mise à jour qui n’a pas résolu le problème
« Je n’étais plus le propriétaire de la cage et je n’avais plus accès à son contrôle », dit une autre victime. Cet autre garçon a reçu, lui aussi, une demande de rançon. Ces deux victimes ne sont pas des cas isolés indique Alex Lomas, un chercheur du Pentest Partners.
Une faille d’autant plus problématique que Qiui, la société qui produit le Cellmate avait promis que le problème avait été résolu dans une mise à jour. Et que le sex toy est populaire. Sur le site de l’entreprise, la cage de chasteté est en rupture de stock.
Des données sensibles
« Tous les produits connectés peuvent être la source d’une vulnérabilité. Peut-être pas aussi importante que celle-ci, mais c’est crucial que les entreprises soient prudentes », dit-il. Selon le chercheur en sécurité informatique, le hacker pourrait avoir eu accès à des données sensibles comme les noms, numéros de téléphone, dates d’anniversaire, localisation…
« Un certain nombre de pays ont des lois répressives qui peuvent exposer les utilisateurs de ce type de dispositif, sans fondement, des forces de l’ordre et des fanatiques », regrettait en octobre Alex Lomas.
Aucune possibilités d’évasion d’urgence
Et malheureusement pour le porteur, le constructeur chinois Qiui n’a pas pensé à un déverrouillage manuel, avec une bête clé par exemple : pour retrouver sa liberté, le porteur ou son/sa partenaire doit absolument déverrouiller l’engin via l’application mobile. Il ne reste plus alors que la force brute. Deux solutions ont été imaginées par les chercheurs, qui dressent les poils sur la tête et ailleurs.
Il faudra ainsi soit faire sauter le circuit imprimé qui contrôle le moteur de la serrure avec deux piles de 3 volts ?, soit couper l’anneau en acier de la cage avec une meuleuse ? ou un coupe-boulons ?. Sachant que cet étrier est évidemment solidement installé autour d’une partie extrêmement sensible du corps humain, mieux vaut ne pas se louper.
