Le célèbre fabricant de sextoys connectés Lovense est au cœur d’une controverse après qu’un chercheur en cybersécurité, connu sous le pseudonyme BobDaHacker, a révélé deux failles majeures exposant les données personnelles de ses utilisateurs. Malgré un signalement initial en mars via le projet Internet of Dongs, Lovense aurait minimisé l’urgence des correctifs, affirmant que la correction de la faille prendrait près de 14 mois… pour ne pas perturber les utilisateurs de ses anciens produit ! Selon le chercheur, il était possible d’accéder aux adresses e-mail d’autres utilisateurs via l’analyse du trafic réseau de l’application, même sans aucune interaction directe. Une démonstration réalisée avec le site TechCrunch a ainsi montré qu’il suffisait d’une minute — voire moins avec un script automatisé — pour associer un nom d’utilisateur à son adresse mail.
Plus inquiétant encore, une seconde faille permettait la prise de contrôle complète d’un compte Lovense à partir de l’adresse e-mail, sans mot de passe, exposant particulièrement les camgirls et les créateurs de contenus qui utilisent ces dispositifs professionnellement. Lovense, qui compte plus de 20 millions d’utilisateurs, a été récompensée en 2023 pour l’intégration de ChatGPT dans ses produits, une reconnaissance aujourd’hui ternie par la révélation de cette failler et par la façon dont la startup communique à ce sujet. Depuis la publication de l’enquête, Lovense affirme avoir corrigé la faille de prise de contrôle et prévoit de résoudre celle liée aux e-mails d’ici une semaine, sans pour autant s’engager à prévenir ses utilisateurs.
