Sextoys connectés : la débandade ?

Magazine
Marque
MISC
Numéro
92
Mois de parution
juillet 2017
Domaines


Résumé

Si le sujet peut prêter à sourire, son impact n’en est pas moins significatif : les sextoys relèvent des objets en lien avec la santé, qui abondent sur le marché et ont encore des progrès à faire pour satisfaire aux exigences élémentaires de sécurité.


La sécurité des objets connectés est un sujet semblable au Père Noël : tout le monde espère un jour le croiser mais, en attendant, on fait son bonhomme de chemin sans trop y penser. Le problème de cette approche est que ces objets foisonnent, leurs protocoles et matériels sont de plus en plus exotiques, les exigences en matière de sécurité de moins en moins visibles et l’impact de ces insuffisances, aussi bien sur la famille Michu que sur nous-mêmes, de plus en plus fort. Enfin, il est encore moins habituel d’inclure dans les rares modèles de menaces les incertitudes liées à l’univers de la donnée. Cette dernière est rarement perçue comme un sujet technico-entrepreneurial à part entière. Cette telle négligence contribue à augmenter les vulnérabilités des objets connectés.

Dans cet article, nous nous intéressons à un type d’objets connectés en particulier – les sextoys – et en présentons un rapide tour d’horizon en examinant deux...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] « La sécurité des objets connectés », MISC n°88, novembre-décembre 2016

[2] Rapports de vulnérabilités, Internet of Dongs, https://internetofdon.gs/reports/

[3] « BLE for pentesters », MISC n°88, novembre-décembre 2016

[4] « Finally, a good digital masturbator », Endgadget, 13 avril 2017, https://www.engadget.com/2017/04/13/finally-a-good-digital-masturbator/

[5] Par ailleurs, il ne semble pas y avoir de mot de passe sur le matériel, pour ce sextoy particulier ou pour d’autres, voir https://buttplug.io

[6] « Messing around with dildos. How to drive a vibrator with RealTerm », PenTest Partners, 13 mars 2015, https://www.pentestpartners.com/blog/messing-around-with-dildos-how-to-drive-a-vibrator-with-realterm/

[7] https://blog.cloudflare.com/yet-another-padding-oracle-in-openssl-cbc-ciphersuites/

[8] Android.Igexin d’après Symantec : https://www.symantec.com/security_response/writeup.jsp?docid=2015-032606-5519-99

[9] Pour une lecture critique sur RDP, voir https://www.sstic.org/2012/presentation/securite_rdp/

[10] goldfisk, followr. « Breaking the Internet of Vibrating Things », DEF CON 24, https://www.youtube.com/watch?v=v1d0Xa2njVg

[11] « We-Vibe Settlement » (accord à l’amiable) : https://www.scribd.com/document/341529556/We-Vibe-Settlement



Articles qui pourraient vous intéresser...

Zéro SQLi malgré les développeurs

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Nous proposons une méthode pour effectuer des requêtes SQL qui garantit l'invulnérabilité aux injections SQL, y compris lorsqu'elle est utilisée par un développeur pressé ou incompétent, contrairement aux requêtes paramétrées. Basée sur l'utilisation d'arbres de syntaxe abstraite, elle permet facilement de construire des requêtes dynamiques et est plus facile à mettre en œuvre qu'un ORM. Nous proposons une bibliothèque Java implémentant nos idées, mais la méthode peut s'appliquer à d'autres langages de programmation et d'autres types de requêtes.

Sécurisation du serveur

Magazine
Marque
Linux Pratique
HS n°
Numéro
48
Mois de parution
septembre 2020
Domaines
Résumé

Notre serveur RHEL est désormais fin prêt à être utilisé et maintenu, sans peine et de manière confortable. Cependant, notre travail n’est pas terminé. Il nous reste encore un élément crucial à valider : nous assurer que le serveur est aussi sûr et protégé que possible face à un éventuel assaillant mal attentionné.

CVE-2020-3153 : élever ses privilèges grâce au télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Cet article explique comment développer un exploit pour la CVE-2020-3153, une élévation de privilèges à l’aide d’un « path traversal » dans le client Cisco AnyConnect pour Windows (avant la version 4.8.02042). Après une brève présentation de ce produit et de son fonctionnement, nous étudierons cette vulnérabilité et verrons comment elle peut être exploitée.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.