Les sextoys connectés sont très faciles à pirater

18 septembre 2021
Mr Geek

Avec la pandémie et les confinements successifs, la vente de sextoys connectés a explosé. Mais ces jouets sexuels sont-ils vraiment sécurisés ? Quels sont les risques de piratage et surtout de chantage ?

Il y a déjà plus de 12 milliards d'objets connectés dans le monde

D'après le cabinet IoT Analytics, il y avait plus de 11,7 milliards d'objets connectés fin 2020, et on estime que ce chiffre dépassera les 21 milliards d'ici 2025. Si ces objets sont déjà très présents dans notre quotidien, l'arrivée de la 5G permettra bientôt le développement d'usages encore dignes de la science-fiction il y a quelques années, comme celui de la voiture autonome par exemple.

Les sextoys connectés sont très faciles à pirater

Mais cette hyper-croissance n'est pas sans risque, et l'IoT (Internet of Things) est une cible de choix pour les hackers, qui trouvent là de superbes opportunités d'installer des ransomwares ou de collecter des informations confidentielles à votre insu.

Se retrouver obligé de payer une rançon pour pouvoir utiliser son ordinateur, sa montre connectée ou son téléviseur intelligent est déjà très inquiétant, mais imaginer que des hackers puissent prendre le controle de vos sextoys connectés est sans doute encore pire et non il ne s'agit pas de paranoïa malheureusement.

Plusieurs chercheurs en sécurité alertent sur le manque de sécurité des sextoys connectés

Plusieurs chercheurs en sécurité ont alerté le grand public sur les dangers de piratage des sextoys connectés, les rapports de SEC Consult ou d'ESET ayant démontré la mauvaise sécurisation de produits  des marques We-Vibe, Lovense ou Vibratissimo. Ce ne sont malheureusement pas les seules marques en cause, puisque l'an dernier une ceinture de chasteté connectée Cellmate a également été piratée avant que le hacker n'exige une rançon pour libérer le pénis de son propriétaire.

  • We-Vibe Chorus - Vibromasseur pour couples avec commandes mains-libres Vibrateur Bluetooth Recharge USB 100% étanche Télécommande Squeeze
    L'AVENIR DES VIBROMASSEURS POUR COUPLES : We-Vibe continue d'innover avec son nouveau vibromasseur pour couples. We-Vibe Chorus offre non seulement des vibrations profondes, mais aussi des fonctionnalités excitantes et sans précédent qui font passer votre vie amoureuse à un autre niveau. TÉLÉCOMMANDE SQUEEZE : plus besoin de tâtonner avec des boutons. La télécommande est conçue avec la réponse humaine la plus naturelle possible : plus vous serrez, plus les vibrations sont fortes UN AJUSTEMENT PARFAIT : porté pendant les rapports sexuels, We-Vibe Chorus est adaptable et s'ajuste à votre corps afin que vous puissiez ressentir les vibrations là où vous le souhaitez. La forme est facile à ajuster et reste en place. TOUCH-SENSE : We-Vibe Chorus est doté de récepteurs tactiles uniques. Pendant vos jeux intimes, les mouvements de votre corps contrôlent les vibrations et l'intensité. NOUVELLE INNOVATION DE CONNECTIVITÉ : le We-Vibe Chorus intègre AnkorLink. Ce nouveau type de connectivité innovant crée une connexion fiable et stable entre votre Chorus et l'application We-Connect.
    199,00 €

Tout cela est donc très inquiétant sachant que ces sextoys vont se retrouver en contact physique direct avec les organes génitaux de leurs utilisatrices et utilisateurs, mais c'est encore pire quand on sait que certains sont dotés de dispositifs qui permettent d'enregistrer des vidéos et de prendre des photos.

Dominique Vidal, fondateur de SecuLabs SA, en a fait dernièrement la démonstration pour l'émission A Bon Entendeur qui passe à la télé en Suisse :

Si pour cet expert le piratage de sextoy est d'une facilité inquiétante, le commun de mortels n'est pas pour autant capable d'en faire autant, surtout lorsqu'il faut maintenir une connexion Bluetooth dont la portée est limitée à environ 10 mètres.

Néanmoins le fait qu'il ait pu pirater un sextoy The Cock Cam, doté d'un caméra, et capturer des vidéos à l'insu de son utilisateur reste très inquiétante.

  • The Cock Cam L'Anneau de Robinet avec Appareil Photo
    Vision étonnante de nuit avec 6 lumières vision nocturne infrarouge sans lumière Afficher et enregistrer les images d'un appareil mobile Compatible avec notre application mobile sécurisée
    Amazon
    183,59 €

Comment protéger votre sextoy des piratages ?

Les démonstrations ci-dessus font clairement froid dans le dos, néanmoins un sextoy connecté n'est pas fondamentalement plus sensible aux attaques que votre Apple Watch ou votre téléviseur connecté, et en suivant quelque conseils simples vous pourrez considérablement limiter les risques.

Il faut bien comprendre que si une partie des sextoys peuvent si facilement etre piratés, c'est tout simplement que ces derniers ne sont pas correctement sécurisés.

Privilégier les marques connues

Si on reprend l'exemple de la ceinture de chasteté évoqué ci-dessus, la faille de sécurité a été remontée très tot. Mais l'équipe de développement a alors botté en touche avec une réponse peu rassurante :

Nous sommes une petite équipe et si nous corrigeons ce bug, cela créera encore plus de problèmes.

Comme l'explique Steven Meyer, directeur de ZENdata :

Les gens qui ont créé ces sextoys ne sont experts ni en objets connectés, ni en internet, ni en cybersécurité.

Mieux vaut partir avec un produit d’une marque connue qui aura peut-être investi de l’argent, de la recherche et du développement pour le protéger correctement.

Autrement dit, si vous décidez d'investir dans un sextoy connecté, évitez les premier prix et le obscures marques chinoises et privilégiez des enseignes reconnues comme Lovely Sins, Lelo ou Lovense, qui ont une réputation à défendre.

Pour en revenir aux hacks évoqués plus haut, les failles logicielles du Lovesense Max et du We-Vibe Jive ont été rapidement corrigées dès leur mise en évidence.

  • LOVENSE Nora Bluetooth Rabbit Vibromasseur pour Femme, Point G Stimulateur Vibrant, Application de Contrôle de Votre Partenaire
    ► 【EXPÉRIENCE DE PLAISIR ULTIME】 Les puissantes vibrations du bras du clitoris sont cohérentes et fluides ; LOVENSE ne fabrique pas de vibrateurs avec des moteurs faibles ; vous obtiendrez un plaisir clitoridien qui durera jusqu'à deux heures avant de s'arrêter, mais vous aurez terminé bien avant. ► 【RÉGLAGES MULTIPLES】 Utilisez le vibromasseur lapin Nora pour améliorer votre plaisir sexuel ; la tête rotative et le puissant vibrateur clitoridien offrent une double fonction, vous pouvez contrôler la vitesse de la tête rotative et augmenter ou diminuer l'intensité des vibrations du bras vibrant, vous permettant d'atteindre l'orgasme confortablement et rapidement; et jouir en même temps Les deux sensations atteignirent le paroxysme du tremblement du corps. ► 【PROGRAMME DE CONTRLE D'APPLI EXCLUSIF】 Le contrôle intime du smartphone grâce à la technologie Bluetooth et WiFi permet à votre partenaire ou à toute autre personne de contrôler le vibrateur Nora rabbit de n'importe où dans le monde fermez la distance dans votre relation à distance et faites monter la température. ► 【SILICONE DE QUALITÉ IMPERMÉABLE IPX7】 Un matériau flexible et qualifié vous aide à trouver et à stimuler votre point G ; fabriqué uniquement avec un matériau en silicone imperméable et sans danger pour le corps, vous pouvez le laver, le sécher, le lubrifier et découvrir ce qui vous fait vibrer sans aucun souci; votre plaisir est à vous d'en profiter. ►【 GARANTIE D'UN AN】 Tous les produits Lovense sont 100% sûrs et ont une certification CE conforme aux normes de l'UE. Le produit ne contient pas de produits chimiques nocifs pour le corps humain. Nous promettons de mettre la sécurité et la santé de nos clients en premier! Si vous avez des questions pendant l'utilisation, n'hésitez pas à nous contacter. Lovense est toujours là pour vous !
    Amazon
    99,00 €

De l'intéret de la RGPD

Les sociétés européennes sont tenues de respecter la RGPD, ce qui n'est pas le cas des petites sociétés chinoises ou russes.
Comme l'explique Stéphane Koch, expert romand en sécurité de l’information :

Les fabricants font donc de moins en moins d’efforts à ce niveau tout en simplifiant la fabrication des objets. Heureusement, la RGPD se charge de responsabiliser les entreprises en sanctionnant lourdement celles qui ne respectent pas les lois.

Finalement ces histoires de bannières et de consentement irritantes dès que vous visitez un site web ont leur utilité, et pourront éviter que des inconnus récupèrent vos nom, prénom, adresse postale, email, mot de passe ainsi que la liste de vos sextoys.

Une raison de plus donc de choisir des produits français ou européens.

Utilisez un email créé spécifiquement pour utiliser votre sextoy

Les piratages d'objets connectés peuvent prendre plusieurs formes. Pour les mettre en marche et les utiliser il vous faudra systématiquement passer par une application smartphone.

Si vous avez le moindre doute sur la sécurité de ces applis (en particulier si elles ne sont pas traduites en français) n'utilisez pas votre email principal, surtout s'il contient vos noms et prénoms dans son libellé.

La création d'un email dédié impossible à relier simplement à vous, vous évitera pas mal de soucis : en cas de piratage et de vol de données ou d'images, le pirate ne pourra pas en faire grand chose.

Rangez vos jouets en lieu sur

Certains sextoys sont conçus pour pouvoir se synchroniser entre eux, ce qui offre une opportunité supplémentaire aux hackers de vous pirater.

En les éteignant dès que vous ne les utilisez plus, et en les rangeant en lieu sur (idéalement dans une boite en métal) vous limitez considérablement les risques de piratage.

N'utilisez pas vos sextoys connectés sur un autre WiFi que le votre

Vous êtes peut-être déjà sensibilisés au vol de données, notamment lorsque vous utilisez un Wi-Fi public ou celui d'un hôtel. S'il est possible de vous protéger derrière un VPN quand vous surfez sur internet, il sera souvent beaucoup plus compliqué de faire de meme avec vos sextoys.

Par sécurité, ne les utilisez que sur votre propre réseau Wi-Fi à la maison, et évitez de les connecter au Wi-Fi de votre one night stand Tinder, on ne sait jamais...

Comme le souligne Steven Meyer :

Si on donne un accès à un tiers, il faut avoir confiance en cette personne. En d’autres termes, éviter de donner un accès à son rendez-vous Tinder le premier soir, car cette personne aura ensuite un accès permanent.