Nous avons déjà évoqué sur notre blog les vulnérabilités de certains gadgets étonnants, des protège-matelas intelligents aux aspirateurs robots, en passant par les boutons-poussoirs des feux de signalisation, les jouets pour enfants, les distributeurs de nourriture pour animaux et même les vélos. Cependant, le cas qui nous intéresse aujourd’hui est sans doute le plus… exotique de tous. Récemment, des chercheurs en cybersécurité ont découvert deux vulnérabilités extrêmement graves dans les applications de contrôle à distance des… jouets sexuels Lovense.
Dans cette affaire, tout est incroyable : la nature des gadgets concernés par ces vulnérabilités, le fait que l’entreprise ait décidé d’attendre 14 mois (!) pour résoudre le problème, et les détails scandaleux qui ont été révélés après que les chercheurs ont publié leurs découvertes. Alors… pénétrons sans plus attendre dans cette histoire aussi absurde que fantastique.
L’écosystème en ligne de Lovense
Le premier point qui rend cette affaire si inhabituelle réside dans le fait que Lovense, fabricant de jouets intimes, s’adresse aussi bien aux couples à distance qu’aux cam models (« modèles humains utilisant des webcams ») qui travaillent sur des plateformes de streaming.
Pour permettre le contrôle des appareils et favoriser les interactions entre utilisateurs, l’entreprise a développé une gamme complète de solutions logicielles adaptées à toute une variété de scénarios :
- Lovense Remote: l’application mobile principale pour contrôler les appareils intimes.
- Lovense Connect: une application complémentaire qui fait le lien entre les appareils Lovense et d’autres applications ou services en ligne. Installée sur un smartphone ou sur un ordinateur, elle permet de connecter un jouet en Bluetooth et de transmettre ensuite des commandes de contrôle à partir de sources externes.
- Lovense Cam Extension: une extension de navigateur pour Chrome et Edge qui relie les appareils Lovense aux plateformes de streaming. Elle est utilisée avec l’application Lovense Connect et le logiciel de streaming OBS Toolset pour permettre un contrôle interactif pendant les diffusions en direct.
- Lovense Stream Master: une application tout-en-un destinée aux streameurs et aux cam models qui associe des fonctionnalités de contrôle des appareils à des fonctionnalités de diffusion en direct.
- Cam101: la plateforme de formation en ligne de Lovense destinée aux modèles qui travaillent sur des sites de streaming.
Bien sûr, toute cette configuration comprend également des API, des trousses SDK, une plateforme interne pour les mini-applications, et bien plus encore. En bref, Lovense ne se résume pas seulement à des jouets intimes connectés à Internet ; il s’agit d’un écosystème à part entière.
Interface utilisateur de l’application Stream Master, qui combine gestion des appareils et flux vidéo. Source
Lorsque vous créez un compte dans l’infrastructure de Lovense, une adresse email vous est demandée. Si certains services offrent la possibilité de s’inscrire avec Google ou Apple, la méthode d’inscription principale pour créer un compte Lovense repose sur une adresse email. Ce détail peut sembler anodin, mais il est au cœur des vulnérabilités qui ont été découvertes.
Deux vulnérabilités détectées dans les produits en ligne de Lovense
Alors, que s’est-il concrètement passé ? Fin juillet 2025, un chercheur connu sous le nom de BobDaHacker a publié sur son blog un article détaillé consacré à deux vulnérabilités découvertes dans les produits en ligne de Lovense. De nombreux produits, notamment Lovense Remote, disposent de fonctionnalités d’interaction sociale. Ces fonctionnalités permettent aux utilisateurs de discuter, d’ajouter des amis, d’envoyer des demandes et de s’abonner à d’autres utilisateurs, y compris à des personnes qu’ils ne connaissent pas.
Alors qu’il exploitait les fonctionnalités d’interaction sociale de l’une des applications de Lovense, BobDaHacker a repéré la première vulnérabilité : lorsqu’il a désactivé les notifications d’un autre utilisateur, l’application a envoyé une requête API au serveur de Lovense. Après avoir examiné le contenu de cette requête, BobDaHacker a été surpris de constater que cette dernière contenait l’adresse email réelle de l’utilisateur, au lieu de son identifiant.
Lorsqu’une action simple (comme désactiver les notifications) était exécutée, l’application envoyait une requête au serveur incluant l’adresse email réelle de l’autre utilisateur. Source
Au terme d’une enquête plus approfondie, le chercheur a découvert que l’architecture de l’API de Lovense était conçue de telle sorte que pour toute action concernant un autre utilisateur (comme désactiver ses notifications), l’application envoyait une requête au serveur. Et dans cette requête, le compte de l’utilisateur était toujours identifié par l’adresse email réelle avec laquelle il s’était inscrit.
En pratique, cela signifiait que tout utilisateur qui interceptait son propre trafic réseau pouvait accéder aux adresses email réelles d’autres personnes utilisant l’application. Il convient de rappeler que les applications de Lovense disposent de fonctionnalités d’interaction sociale et permettent de communiquer avec des cam models. La plupart du temps, les utilisateurs ne se connaissent pas en dehors de la plateforme, et la divulgation des adresses email associées à leurs profils peut conduire à une désanonymisation.
BobDaHacker a fait part de ses découvertes à une autre chercheuse en cybersécurité nommée Eva, et ensemble, ils ont examiné l’application Lovense Connect. Cela les a amenés à découvrir une vulnérabilité encore plus grave : la génération d’un jeton d’authentification dans l’application ne nécessitait que l’adresse email de l’utilisateur ; aucun mot de passe n’était requis.
Cela signifiait que toute personne disposant de compétences techniques suffisantes pouvait accéder au compte de n’importe quel utilisateur de Lovense, dès lors qu’elle connaissait l’adresse email de cet utilisateur. Et comme nous venons de l’apprendre, cette adresse email pouvait facilement être récupérée en exploitant la première vulnérabilité.
Pour générer un jeton d’authentification dans l’application de Lovense, seule l’adresse email de l’utilisateur était nécessaire ; aucun mot de passe n’était requis. Source
Ces jetons permettaient de s’authentifier sur divers produits de l’écosystème de Lovense, notamment :
- Lovense Cam Extension
- Lovense Connect
- Stream Master
- Cam101
De plus, les chercheurs ont réussi à utiliser cette méthode pour accéder non seulement aux profils d’utilisateurs ordinaires, mais aussi aux comptes disposant de privilèges d’administrateur.
La réaction de Lovense aux rapports de vulnérabilité
Fin mars 2025, BobDaHacker et Eva ont signalé les vulnérabilités qu’ils avaient découvertes dans les produits de Lovense par l’intermédiaire de The Internet Of Dongs Project, un groupe dédié à la recherche et à l’amélioration de la sécurité des appareils intimes connectés à Internet. Le mois suivant, en avril 2025, ils ont également exposé ces deux vulnérabilités sur HackerOne, une plateforme plus traditionnelle qui permet d’entrer en contact avec des chercheurs en sécurité et de recevoir des primes aux bugs.
Lovense, le fabricant de jouets pour adultes, a pris connaissance du rapport et a même versé à BobDaHacker et Eva une prime totale de 4 000 dollars. Cependant, au mois de mai, puis à nouveau en juin, les chercheurs ont remarqué que les vulnérabilités n’avaient toujours pas été corrigées. Ils ont continué à communiquer avec Lovense, et c’est là que la partie la plus étrange de cette affaire a débuté.
D’abord, Lovense leur a affirmé que la vulnérabilité permettant de pirater les comptes avait été corrigée en avril. Pourtant, BobDaHacker et Eva ont procédé à des vérifications et confirmé que cette affirmation était fausse : il était toujours possible d’obtenir un jeton d’authentification pour le compte d’un autre utilisateur sans mot de passe.
Concernant la vulnérabilité liée à la divulgation des adresses email, la situation était encore plus absurde. L’entreprise a déclaré qu’il faudrait attendre 14 mois pour que le problème soit complètement résolu. Lovense a admis pouvoir mettre en œuvre un correctif en seulement un mois, mais l’entreprise a décidé de ne pas le faire afin d’éviter des problèmes de compatibilité et de maintenir la prise en charge des anciennes versions de l’application.
Les échanges entre les chercheurs et le fabricant se sont poursuivis pendant plusieurs mois. L’entreprise a affirmé à plusieurs reprises que les vulnérabilités avaient été corrigées, et les chercheurs ont prouvé tout autant de fois qu’ils étaient toujours en mesure d’accéder aussi bien aux emails qu’aux comptes.
Finalement, fin juillet, BobDaHacker a publié sur son blog un article détaillé décrivant les vulnérabilités et l’inaction de Lovense, mais uniquement après avoir prévenu l’entreprise au préalable. Des journalistes travaillant pour TechCrunch et d’autres médias ont contacté BobDaHacker et ont pu confirmer qu’au début du mois d’août, soit quatre mois après avoir informé l’entreprise de la situation, le chercheur était toujours en mesure d’obtenir l’adresse email de n’importe quel utilisateur.
Et l’affaire est loin de s’arrêter là. Les détails les plus scandaleux n’ont été révélés à BobDaHacker et Eva qu’après la publication de leurs recherches.
Une affaire de négligence : qui a averti Lovense, et quand ?
Les découvertes de BobDaHacker ont fait beaucoup de bruit dans les médias, sur les blogs et sur les réseaux sociaux. Ainsi, deux jours seulement après la publication du rapport, Lovense a finalement corrigé les deux vulnérabilités, et cette fois-ci, semble-t-il, pour de bon.
Cependant, il est vite apparu que cette affaire avait commencé bien avant le rapport de BobDaHacker. Pendant des années, d’autres chercheurs ont averti Lovense de ces mêmes vulnérabilités, mais leurs messages ont été soit ignorés, soit passés sous silence. Ces derniers ont témoigné auprès de BobDaHacker et ont partagé avec lui leurs découvertes dans le cadre de son enquête.
Pour vraiment saisir toute l’étendue de l’indifférence de Lovense à l’égard de la sécurité et de la vie privée de ses utilisateurs, il suffit de regarder la chronologie de ces rapports :
- 2023 : un chercheur connu sous le nom de @postypoo signale les deux bugs à Lovense et se voit offrir en retour… deux jouets sexuels, sans que les vulnérabilités ne soient toutefois corrigées.
- Toujours en 2023 : les chercheurs @Krissy et @SkeletalDemise découvrent la vulnérabilité liée au piratage de comptes. Lovense leur affirme que le problème a été corrigé et leur verse une prime le même mois. Cependant, le message de relance de @Krissy indiquant que la vulnérabilité est toujours présente reste sans réponse.
- 2022 : un chercheur du nom de @radiantnmyheart découvre le bug exposant les adresses email et le signale. Son message est ignoré.
- 2017 : l’entreprise Pen Test Partners signale la vulnérabilité exposant les adresses email, ainsi que l’absence de chiffrement du chat dans l’application Lovense Body Chat, et publie une étude à ce sujet. Son rapport est ignoré.
- 2016 : The Internet Of Dongs Project identifie trois vulnérabilités similaires liées à l’exposition des adresses email. Autrement dit, Lovense a demandé à BobDaHacker de lui accorder 14 mois pour corriger des vulnérabilités connues depuis au moins huit ans!
De plus, après la publication du rapport de BobDaHacker, l’entreprise a été contactée non seulement par les pirates informatiques honnêtes qui avaient signalé ces bugs auparavant, mais aussi par le créateur d’un site Internet d’OSINT et ses amis, qui étaient tout sauf ravis. Ces derniers auraient vraisemblablement exploité ces vulnérabilités à leurs propres fins, notamment en collectant des adresses email d’utilisateurs et en procédant ensuite à leur désanonymisation. Cela n’a toutefois rien d’étonnant, dans la mesure où le rapport de Pen Test Partners était accessible au public depuis 2017.
Protection de votre vie privée
Le moins que l’on puisse dire, c’est que l’approche de Lovense en matière de vie privée et de sécurité des utilisateurs laisse clairement à désirer. Il appartient désormais à chaque utilisateur de décider s’il souhaite continuer à utiliser les appareils de la marque et, surtout, à les connecter aux services en ligne de l’entreprise.
De notre côté, nous vous livrons ici quelques conseils pour vous protéger et préserver votre vie privée si vous utilisez des services en ligne pour adultes.
- Créez toujours une adresse email distincte pour vous inscrire à ce type de services. Celle-ci ne doit contenir aucune information qui pourrait permettre de vous identifier.
- N’utilisez pas cette adresse email à d’autres fins.
- Au moment de vous inscrire, n’utilisez pas votre véritable nom, prénom, âge, date de naissance, ville de résidence ou toute autre information qui pourrait permettre de vous identifier.
- Ne téléchargez pas de véritables photos de vous qui pourraient facilement être utilisées pour vous identifier.
- Protégez votre compte à l’aide d’un mot de passe fort. Celui-ci doit comporter au moins 16 caractères et, dans l’idéal, inclure une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
- Votre mot de passe doit être un Ne l’utilisez jamais pour d’autres services afin de ne pas compromettre ces derniers en cas de fuite de données.
- Pour éviter d’oublier le mot de passe et l’adresse email que vous avez créés spécialement pour ce service, utilisez un gestionnaire de mots de passe fiable. KPM peut également vous aider à générer un mot de passe aléatoire, fort et unique.
Enfin, si vous souhaitez vous informer… plus en profondeur sur les jouets pour adultes et les services connexes qui s’offrent à vous, nous vous recommandons de consulter des ressources spécialisées comme The Internet Of Dongs Project, où vous trouverez des informations sur des marques susceptibles de vous intéresser.
Jetez un œil à nos autres articles pour découvrir comment protéger votre vie privée des regards indiscrets :
Laisser un commentaire