Des vibrateurs télécommandés se sont révélés piratables. « Une fuite pourrait avoir de graves conséquences »

Lovense, fabricant de sextoys intelligents, a été confronté pendant des mois à une faille de sécurité, découverte par un pirate informatique éthique en mars. Des acteurs malveillants ont pu accéder aux comptes utilisateurs de vibromasseurs télécommandés sans mot de passe. Les adresses e-mail associées à ces comptes étaient également traçables. La vulnérabilité a depuis été corrigée, a annoncé Lovense dans un communiqué.

L'entreprise hongkongaise, qui revendique plus de vingt millions d'utilisateurs, produit des vibromasseurs, des œufs vibrants et des plugs anaux contrôlables via une application Bluetooth. Cette application permet de contrôler les vibrations à distance.

Cela pourrait être une solution pour les personnes engagées dans des relations à distance, vante le site web de l'entreprise. Lovense propose également des services aux modèles webcam pour des sites érotiques comme OnlyFans. Ils peuvent, par exemple, facturer les utilisateurs pour faire vibrer les jouets pendant une diffusion en direct.

Chance

La vulnérabilité a été signalée pour la première fois dans un article de blog par un hacker éthique se faisant appeler BobDaHacker. Ce dernier, qui souhaite rester anonyme, a déclaré à ce journal, via l'application de messagerie Signal, avoir découvert la vulnérabilité par accident en « jouant » avec l'application. Elle a bloqué son ex-amant et observé les données que l'application échangeait ensuite avec le serveur. Son adresse e-mail figurait parmi ces données.

La pirate informatique éthique a signalé la vulnérabilité à Lovense en mars, mais l'entreprise n'a pas réagi de manière adéquate. Elle a donc décidé de divulguer la vulnérabilité plus tôt cette semaine. Cela l'a conduite à contacter un autre pirate informatique éthique, qui lui a indiqué avoir déjà signalé la même vulnérabilité logicielle à l'entreprise en 2023.

Trois jours après la publication de BobDaHacker, Lovense a publié une nouvelle mise à jour automatique de l'application, corrigeant la vulnérabilité. Lovense aindiqué sur son site web vouloir garantir une protection durable et ne pas précipiter le processus. L'entreprise a également affirmé n'avoir trouvé aucune preuve d'accès aux données des utilisateurs.

« Je ne connais pas les processus en place, bien sûr, mais je pense qu'il est difficile [pour l'entreprise] de l'affirmer avec certitude », déclare Steven Derks, membre du conseil d'administration de la fondation Privacy First. « Je considère que le risque de violation de données, c'est-à-dire d'accès ou de vol de données personnelles, est très élevé. »

Choquant

Une telle fuite pourrait avoir de graves conséquences, explique Derks. « Les camgirls qui utilisent également ces produits opèrent souvent sous des pseudonymes. Si vous pouvez associer une adresse e-mail à ce pseudonyme, vous pouvez rapidement en savoir plus sur une personne. Cela ouvre la voie au chantage, au doxing [publication d'informations personnelles en ligne] et à l'intimidation. »

Derks estime également que la fuite porte atteinte à la vie privée d'une autre manière : « On peut véritablement porter atteinte à l'intégrité physique de quelqu'un dès qu'on pirate un compte et qu'on prend le contrôle d'un sextoy. » Il qualifie de « choquant » que l'entreprise ait attendu au moins quatre mois pour corriger la fuite. Derks : « On pourrait s'attendre à ce qu'un fabricant de sextoys aussi important ait mis en place des mesures de sécurité. »

Easytoys et Bol.com, entre autres, vendent des sextoys Lovense. Plus tôt cette semaine, les boutiques en ligne ont annoncé la suspension de leurs ventes suite à la fuite d'informations dans le journal AD . Maintenant que la fuite a été résolue, les quarante produits érotiques sont de nouveau proposés à la vente sur Bol.com, a déclaré un porte-parole à NRC . La boutique en ligne affirme ne pas prendre l'affaire à la légère. « Nous restons en contact étroit avec notre distributeur et exigeons une surveillance étroite de Lovense. » Easytoys a également annoncé la reprise de la vente de ses sextoys.