C'est une faille de sécurité qui touche pour le coup, vraiment, à l'intime. Un chercheur a révélé que la plateforme de sextoys connectés Lovense expose l'adresse e-mail de ses 20 millions d'utilisateurs. Pire encore, l'entreprise, informée depuis des mois, aurait demandé un délai de 14 mois pour corriger le problème.
Retrouver un e-mail à partir d'un simple pseudo
La vulnérabilité, révélée par le chercheur en sécurité "BobDaHacker", est d'une simplicité accablante. En analysant les requêtes réseau de l'application Lovense, il a découvert qu'il était possible de récupérer l'adresse e-mail complète d'un utilisateur en ne connaissant que son pseudo public.
Cette faille représente un risque majeur de "doxxing" (la publication d'informations privées) et de harcèlement, en particulier pour les "cam models" qui utilisent ces jouets dans le cadre de leur activité professionnelle et dont les pseudos sont, par définition, publics.
Une deuxième faille permettait de pirater les comptes
Le chercheur a également découvert une seconde faille, encore plus critique, qui permettait de prendre le contrôle total d'un compte Lovense en ne possédant que l'adresse e-mail de la victime (qui pouvait être trouvée grâce à la première faille). Un pirate aurait donc pu activer à distance les jouets d'un utilisateur.
Cette deuxième vulnérabilité, jugée "critique", a été en grande partie corrigée par Lovense après la divulgation du chercheur.
14 mois pour un correctif ?
C'est la partie la plus choquante de l'histoire. Les failles ont été signalées à Lovense en mars 2025. Concernant la fuite d'e-mails, qui n'est toujours pas corrigée, l'entreprise aurait expliqué au chercheur qu'il faudrait 14 mois pour un correctif complet.
La raison invoquée ? Une correction plus rapide obligerait les utilisateurs d'anciennes versions de l'application à faire une mise à jour, ce qui serait jugé trop "dérangeant". Lovense a donc sciemment choisi de laisser la faille ouverte plutôt que de "déranger" ses utilisateurs.
On en dit quoi ?
La réponse de Lovense est affligeante et illustre les dangers de certains objets connectés. Privilégier le "confort" des utilisateurs au détriment de la sécurité des données personnelles de millions de personnes est un calcul irresponsable, surtout dans un domaine aussi sensible.
Cette affaire est un cas d'école de la négligence de certaines entreprises de l'Internet des Objets. Le fait de laisser volontairement une faille de sécurité aussi grave ouverte pendant plus d'un an, par simple convenance, est une décision indéfendable. Cela montre un mépris total pour la sécurité et la vie privée des utilisateurs.
Pour suivre les dernières actualités sur la cybersécurité et les objets connectés, le mieux est encore de nous suivre sur notre compte Threads !
