Une ceinture de chasteté, pour ceux qui n’oseraient pas aller voir sur Google, est un sex-toy utilisé dans le BDSM qui permet d’emprisonner le sexe pour prévenir les érections. S’il est connecté à Internet, vous pouvez le verrouiller et le déverrouiller à distance.

« Ton pénis est à moi maintenant », a annoncé le hacker à l’une de ses victimes, selon une capture d’écran de leur conversation obtenue par « Smelly », chercheur en sécurité et fondateur de vx-underground, un site qui collecte des échantillons de logiciels malveillants. 

En octobre dernier, des chercheurs en sécurité ont découvert une faille de sécurité majeure dans le système de verrouillage d’une de ces ceintures : le fabricant avait laissé l’API ouverte et accessible, de sorte que n’importe qui pouvait pirater l’objet. C’est exactement ce qui s’est passé, selon les captures d’écran que nous avons obtenues et les victimes que nous avons interrogées.

L’une des victimes, qui a demandé à être identifiée sous le nom de Robert, dit avoir reçu un message lui demandant de transférer 0,02 Bitcoin (environ 587 euros) pour débloquer le dispositif. Il s’est rendu compte que sa ceinture était en effet verrouillée et qu’il « ne pouvait plus l’utiliser ». « Mais quand c’est arrivé, heureusement, la ceinture n’était pas sur mon pénis », dit-il. 

« Je ne possédais même plus la ceinture, je n’avais donc plus aucun contrôle sur elle », raconte une autre victime sous le pseudonyme de RJ. RJ a reçu un message du hacker, qui lui a indiqué qu’il pouvait contrôler la ceinture et qu’il ne la déverrouillerait pas tant que l’argent ne serait pas versé.

Ces piratages montrent une fois de plus que ce n’est pas parce que vous pouvez connecter quelque chose à Internet que vous devez le faire, surtout si vous ne vous préoccupez pas de la sécurité du dispositif ou de sa connexion. 

Qiui, le fabricant chinois de Cellmate, le gadget en question, n’a pas souhaité répondre à notre demande de commentaires.

Alex Lomas, un chercheur en sécurité de Pentest Partners qui a vérifié le dispositif, confirme que certains utilisateurs ont effectivement été extorqués, et que cela montre que la sécurité doit être améliorée.

« Presque toutes les entreprises et tous les produits sont tôt ou tard vulnérables, dit Lomas. Ce n’est pas toujours aussi grave que dans le cas présent, mais il est important que toutes les entreprises coopèrent et restent en contact avec les chercheurs. » 

Comme d’habitude, faites attention aux appareils auxquels vous confiez vos données ou, dans ce cas, vos organes génitaux.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.
VICE Belgique est sur Instagram et Facebook.