Lovense, le fabricant de sextoys connectés, fait face à une vive polémique après la révélation de deux failles de sécurité majeures par le chercheur en cybersécurité BobDaHacker.
Selon lui, ces vulnérabilités exposaient des millions d’utilisateurs à des risques sérieux de fuite de données. Signalée dès mars via le projet Internet of Dongs, la première faille permettait d’accéder aux adresses e-mail d’utilisateurs simplement en analysant le trafic réseau généré par l’application mobile, sans qu’aucune interaction ne soit nécessaire.
Brèche critique
Une démonstration relayée par TechCrunch a montré qu’un script automatisé pouvait associer un pseudonyme à une adresse e-mail en moins d’une minute. La seconde faille, encore plus inquiétante, permettait la prise de contrôle d’un compte Lovense à partir de la seule adresse e-mail, sans mot de passe.
Une brèche critique, notamment pour les camgirls et créateurs de contenus utilisant ces dispositifs dans un cadre professionnel.
Malgré la gravité des problèmes, Lovense aurait initialement minimisé l’urgence des correctifs, estimant à 14 mois le temps nécessaire pour corriger la faille liée aux e-mails afin de ne pas gêner les utilisateurs de produits plus anciens.
La société affirme désormais avoir colmaté la vulnérabilité la plus critique, celle du contrôle de compte, et promet un correctif rapide pour la seconde.
Néanmoins, Lovense ne s’est pas engagé à notifier ses utilisateurs des risques encourus, un choix critiqué alors que la startup avait été saluée en 2023 pour l’intégration de ChatGPT dans ses produits. Ces révélations soulignent une fois de plus les enjeux cruciaux de sécurité dans l’univers des objets connectés, en particulier ceux liés à l’intimité des utilisateurs.
Laisser un commentaire