Avec plus de 20 millions d'utilisateurs, Lovense est un acteur de poids dans le domaine des sextoys connectés. Des chercheurs en sécurité ont mis au jour des vulnérabilités touchant potentiellement un grand nombre de personnes. En jeu, la fuite d'adresses e-mail privées et la possibilité de pirater des comptes.
Une simple faille pour une fuite massive ?
Se présentant en tant que BobDaHacker, un chercheur a découvert qu'un simple pseudo Lovense, souvent partagé publiquement, pouvait suffire pour obtenir l'adresse e-mail personnelle qui lui est associée.
La faille réside dans le système de messagerie de l'application. En exploitant une API, un attaquant peut très rapidement lier un pseudonyme à un e-mail.
La méthode a été testée et confirmée par BleepingComputer et TechCrunch. Elle met en danger des utilisateurs qui pensaient leur anonymat garanti, notamment les professionnels du secteur qui partagent leurs pseudos pour leur travail.
Un piratage de compte à portée de main
Comme si la fuite d'e-mails n'était pas suffisante, une seconde vulnérabilité a été découverte. Celle-ci permettait de prendre le contrôle complet d'un compte Lovense en utilisant uniquement l'adresse e-mail de la victime, qui pouvait être obtenue grâce à la première faille.
Pas besoin de mot de passe. Un attaquant pouvait ainsi générer des jetons d'authentification pour se connecter au nom de l'utilisateur, contrôler ses appareils à distance et accéder à toutes ses plateformes Lovense.
« Littéralement n'importe qui pouvait prendre le contrôle de n'importe quel compte juste en connaissant l'adresse e-mail », écrit BobDaHacker.
Une communication de crise qui interroge
Les failles ont été signalées à Lovense dès le 26 mars 2025. La réaction de l'entreprise a été pour le moins discutable. Après avoir minimisé la gravité des problèmes, Lovense a finalement reconnu le caractère critique de la prise de contrôle de compte et l'a corrigée en juillet.
Pour la fuite d'e-mails, c'est une autre histoire. Lovense a d'abord affirmé que le problème serait résolu dans une future version, avant d'annoncer un plan de correction de 14 mois. Cette lenteur a été justifiée par la volonté de ne pas perturber les utilisateurs des anciennes versions de l'application.
Une décision qui a fait bondir et face à la pression, Lovense a finalement indiqué qu'un correctif était en cours de déploiement. Et pour ne rien arranger à l'affaire, d'autres chercheurs auraient découvert le bug de la compromission de compte dès 2023.
