Ce célèbre fabricant de sextoys laisse les coordonnées de ses clients à la vue de tous
Un chercheur en sécurité a récupéré facilement les adresses mail de dizaines de millions de clients d'un célèbre fabricant de sextoys. Pire encore : cette faille permet de prendre totalement le contrôle de leur compte.
On n'a pas forcément envie que le monde entier connaisse nos petits secrets… encore moins lorsque ces secrets concernent des jouets plutôt coquins qu'on garde dans un tiroir bien fermé à clé ! Ce genre d'informations, on préfère généralement les laisser là où elles doivent l'être : dans l'intimité. Car si certains objets connectés font tourner des têtes et vibrer les cœurs, ceux-là sont plutôt faits pour autre chose… Mais voilà que de nombreux utilisateurs voient leurs tréfonds exposés au grand jour ! Lovense, le célèbre fabricant de sextoys connectés, se retrouve victime d'une fuite massive de données. Les clients peuvent trembler !
Fuite Lovense : des comptes en danger
Il y a plusieurs mois de cela, un chercheur en cybersécurité se faisant appeler BobDaHacker a informé Lovense de l'existence de deux failles de sécurité majeures dans l'API de son application mobile. Comme il l'explique dans un article de blog, ces failles permettent aux pirates non seulement de voler les adresses e-mail d'autres utilisateurs, mais aussi de pirater leurs comptes. Au total, plus de 20 millions de clients seraient concernés.
La manipulation à faire pour s'emparer de ces données est plutôt simple et extrêmement rapide à faire. Alors qu'il examinait l'API de l'application, le chercheur a simplement mis en sourdine un autre utilisateur. L'adresse e-mail correspondante est alors apparue dans la réponse de l'API. "L'ensemble du processus prenait environ 30 secondes par nom d'utilisateur manuellement. Grâce au script (programme informatique, ndlr) que nous avons créé pour l'automatiser, la conversion d'un nom d'utilisateur en adresse mail a pris moins d'une seconde", explique-t-il.
Cela est particulièrement dangereux pour les cam models – des personnes qui se filment via une webcam, souvent sur des plateformes pour adultes, pour interagir avec un public, généralement contre rémunération – qui partagent publiquement leurs pseudonymes mais tiennent à préserver leur anonymat. Pire encore, avec cette simple adresse mail, il est possible de créer des jetons d'authentification pour accéder à un compte Lovense sans mot de passe, et ainsi en prendre le contrôle.
Fuite Lovense : une vulnérabilité déjà ancienne
BobDaHacker a signalé les deux failles à Lovense, qui lui a assuré travailler sur un correctif, en mars 2025. L'entreprise a ensuite affirmé avoir corrigé la vulnérabilité de prise de contrôle de compte en avril, mais le chercheur conteste cette version des faits. Elle lui a alors indiqué que "nous avons lancé un plan de correction à long terme qui prendra environ 10 mois, et au moins 4 mois supplémentaires seront nécessaires pour mettre en œuvre une solution complète", et ce, au motif qu'une solution plus rapide perturberait la prise en charge des anciennes versions de l'application. La douche froide ! C'est pourquoi le chercheur a finalement décidé de rendre cette affaire publique.
D'autant plus qu'une autre chercheuse, se faisant appeler Krissy, avait déjà découvert cette vulnérabilité en septembre 2023 et l'avait là aussi signalée à Lovense, qui aurait prétendu l'avoir corrigée. Depuis, le fabricant a affirmé auprès de Techcrunch avoir résolu les deux problèmes : le bug de prise de contrôle serait entièrement résolu et l'autre faille devrait être corrigée dans une mise à jour qui devrait être déployée à l'ensemble des utilisateurs la semaine prochaine. Espérons que, cette fois, cela soit vrai !
Ce n'est pas la première fois que Lovense doit gérer des scandales de sécurité. En 2017, des utilisateurs avaient découvert que l'application Android Lovense enregistrait des sessions audio privées à leur insu, ce que la marque avait qualifié de "bug logiciel mineur" avant de déployer un correctif.