Werner Schober est chercheur chez SEC Consult, et étudiant en sciences appliquées dans une université autrichienne. Lors de sa cinquième année d’étude, il a dû faire face à un des problèmes que nous connaissons bien : choisir le sujet de sa thèse.
Il a commencé à créer un nuage de mots-clés en écrivant les sujets déjà sélectionné par les autres étudiants de sa promotion. Tous les mots basiques à la mode en informatique étaient là : bitcoin, RGPD, Cloud, etc. Mais, étrangement, il n’y avait rien sur l’Internet des Objets (IdO), un sujet pourtant d’actualité. C’était tout vu, surtout que le poste de Werner à SEC Consult lui donne une certaine expérience qu’il pourra utiliser dans ses recherches : pirater les dispositifs et les réseaux, puis détecter leurs vulnérabilités.
Cependant l’IdO est un concept très vaste qui inclut pratiquement tout, des feux de circulation aux stimulateurs cardiaques, en passant par les théières intelligentes. Il devait se centrer sur quelque chose de plus précis. Les infrastructures critiques de l’IdO, comme les feux de circulation ou les stimulateurs cardiaques que nous avons mentionnés, ont déjà fait l’objet de nombreuses recherches. Quant aux maisons intelligentes, avec leurs bouilloires et ampoules intelligentes, elles ont déjà été étudiées dans les moindres détails, et il n’y a pas vraiment de vulnérabilités critiques à mentionner. Et si votre tondeuse était victime d’une attaque par déni de service ? Coupez l’herbe vous-même pour une fois.
Werner a choisi une sous-catégorie de l’IdO qui n’a pas souvent été analysée, même s’il existe bien quelques études puisque les pirates informatiques aiment braver les interdits, et où les vulnérabilités peuvent avoir de véritables conséquences : les jouets sexuels intelligents.
Werner a testé trois appareils : deux chinois et un allemand. Devinez lequel présente le plus de vulnérabilités ? Attention spoiler : le dernier. Et comment ! Il s’avère qu’il y avait tant de vulnérabilités, et qu’elles étaient si critiques, que Werner a laissé de côté les dispositifs chinois pour consacrer toute sa thèse à l’appareil allemand. Il a présenté ses découvertes lors du 35ème Chaos Communication Congress (35C3).
L’appareil allemand s’appelle Vibratissimo PantyBuster. Il se connecte par Bluetooth à un smartphone Android ou iOS, et est contrôlé à partir d’une application spéciale, soit sur place soit à distance, par un autre smartphone. Cependant, les capacités de l’application vont beaucoup plus loin, et comprennent essentiellement un réseau social complet avec des conversations de groupe (!), une galerie photos (!!), des listes d’amis (!!!), et bien d’autres.
Logiciel : faites connaissance avec les autres utilisateurs de ce jouet sexuel
Parlons d’abord des vulnérabilités du logiciel. Il s’avère que le répertoire racine du site Internet de Vibratissimo contient un fichier .DS_Store, c’est-à-dire une liste de tous les dossiers et fichiers du répertoire en question, ainsi que des paramètres supplémentaires que macOS crée pour afficher correctement les icônes des fichiers, et leur disposition. Werner a pu déchiffrer ce fichier, et donc révéler les noms de tous les dossiers et fichiers du répertoire racine.
Le dossier Config était particulièrement intéressant, puisqu’il contenait un autre fichier du même nom avec les identifiants de connexion, non chiffrés, permettant d’accéder à la base de données. Werner a pu trouver une interface pour se connecter à la base de données, saisir les identifiants de connexion, et avoir accès aux données de tous les utilisateurs du produit Vibratissimo, y compris leurs noms d’utilisateurs et mots de passe (là encore non chiffrés), ainsi que leurs conversations, images, et vidéos. Quel genre de conversations et d’images pouvez-vous trouver sur le réseau social d’un jouet sexuel ? Elles ont certainement un caractère privé.
Un autre problème : lorsque l’utilisateur crée une galerie dans l’application, un identifiant lui est attribué. Lorsque vous souhaitez visionner la galerie, l’application vous envoie une demande où figure cet identifiant. Pour réaliser quelques tests, Werner a créé une galerie avec deux photos de chats, a obtenu l’identifiant, et s’est ensuite dit : que se passerait-il si je modifiais légèrement l’identifiant fourni dans la demande, en enlevant 1 par exemple ? Il a ainsi pu accéder à la galerie d’une autre personne, et cette fois ce n’était pas des photos de chats.
L’application permet également aux utilisateurs de créer un lien rapide de contrôle pour allumer le dispositif à distance, ce qui permet aux propriétaires de le partager avec d’autres, notamment lorsqu’il s’agit d’une relation à distance, ou de toute autre situation similaire. Une confirmation n’est pas exigée lorsque quelqu’un suit le lien ; le dispositif s’allume immédiatement. Le lien contient également un identifiant. Devinez ce qui se passe si vous soustrayez 1 à cet identifiant ? Vous avez deviné, l’appareil d’une autre personne s’allume sur-le-champ.
De plus, lorsque vous vous authentifiez en vous connectant depuis votre téléphone, l’application envoie une demande au serveur avec le nom d’utilisateur et le mot de passe en texte clair, non chiffré, ce qui signifie que n’importe qui peut les intercepter si vous utilisez un réseau public ; pas vraiment une sécurité dernier cri. D’autres vulnérabilités du logiciel ont été détectées, mais elles n’étaient pas aussi importantes. D’autres parties présentaient d’importants problèmes, notamment aux niveaux du transport (la communication de l’appareil), et du hardware.
L’interface : connectez-vous avec de parfaits inconnus
Comme nous l’avons déjà dit, Vibratissimo PantyBuster se connecte au smartphone par Bluetooth. Il utilise plus précisément le Bluetooth à basse consommation, qui permet à l’utilisateur de se connecter grâce à une des cinq méthodes de jumelage (un échange de clés permettant d’établir la connexion entre les dispositifs). La clé à saisir sur le smartphone peut être écrite sur le dispositif, affichée sur l’écran, ou connue en avance (par exemple 0 ou 1234). De plus, les appareils peuvent échanger les clés en utilisant la technologie NFC, ou en ne se jumelant pas.
PantyBuster n’a pas d’écran, et n’est pas équipé de la technologie NFC, donc vous pouvez éliminer ces options. Deux des options restantes sont assez sécurisées (assez), mais les fabricants de ce dispositif font passer la simplicité avant tout, et ils ont adopté une approche simple et dangereuse : aucun jumelage. Cela signifie que si quelqu’un le sait, et envoie l’ordre d’activer l’appareil, tous les PantyBuster qui se trouvent à proximité vont commencer à vibrer en cœur. N’importe quelle personne ayant l’application activée peut se promener dans le métro, par exemple, et surprendre agréablement les propriétaires « chanceux » qui voyagent avec leur appareil.
Werner a écrit un programme simple qui recherche les appareils Bluetooth à basse consommation qui se trouvent dans les environs, vérifie qu’il s’agit de jouets sexuels, et si c’est le cas, les active à pleine puissance. Au cas où quelqu’un se poserait la question, ce genre d’action n’est pas considéré comme une violation par les lois autrichiennes, mais le code pénal du pays contient bien un paragraphe relatif aux « actes sexuels non désirés », ce pourrait également être le cas dans d’autres régions.
Hardware : ce qu’il contient
Tout d’abord, il est impossible de mettre à jour le micrologiciel. En d’autres termes, le fabricant peut le faire, mais pas l’utilisateur. Lorsque le fabricant a eu connaissance des recherches de Werner, il a conseillé aux utilisateurs de renvoyer leurs appareils pour qu’ils soient mis à jour, puis de leur retourner. Mais il est peu probable qu’une personne veuille envoyer à ce service un jouet sexuel qui a servi.
Ensuite, si le dispositif est ouvert, vous pouvez trouver les interfaces que le fabricant a utilisé pour corriger les bugs, et oublié de fermer. Ces interfaces peuvent servir à extraire et analyser le micrologiciel de l’appareil.
Les ennuis avec l’IdO ne cessent d’apparaître
Le discours d’une demi-heure de Werner a mentionné beaucoup de problèmes mais peu de solutions, principalement parce qu’il n’y en a pas. Bien sûr, Werner a contacté le fabricant, et ils ont résolu ensemble la plupart des problèmes qui se trouvent dans l’application et les nouveaux appareils. Cependant, les vulnérabilités présentes au niveau du hardware des appareils déjà vendus vont persister.
Désormais, nous n’avons plus qu’à vous répéter les conseils que nous donnons dans la plupart de nos articles relatifs aux objets intelligents : informez-vous en ligne avant d’acheter un appareil intelligent. Vérifiez (au moins dix fois) si vous avez vraiment besoin de ces fonctions intelligentes. Peut-être est-ce suffisant d’utiliser la version standard du dispositif, sans qu’il soit connecté à Internet ou contrôlé à partir d’une application ? Ce serait moins cher, et beaucoup plus sûr.