L’application Lovense, dédiée aux sex toys connectés, a récemment été confrontée à une faille critique exposant les adresses email des utilisateurs. Cette vulnérabilité permettait à un attaquant de récupérer des emails privés à partir d’un simple nom d’utilisateur, entraînant des risques élevés de doxxing, de harcèlement et de compromission de compte.
Comment fonctionnait la faille Lovense
Le chercheur en sécurité BobDaHacker, accompagné d’Eva et de Rebane, a découvert une faille zero-day dans le système de communication de Lovense. En exploitant l’interaction entre le chat XMPP et l’API backend, les attaquants pouvaient transformer un nom d’utilisateur public en adresse email privée.
Étapes d’exploitation
Le processus d’attaque était simple et automatisable :
-
Générer un gtoken via l’endpoint
/api/wear/genGtoken. -
Chiffrer un nom d’utilisateur et l’envoyer à l’endpoint
/app/ajaxCheckEmailOrUserIdRegisted. -
Récupérer un JID (Jabber ID) factice, l’ajouter aux contacts, puis actualiser la liste pour révéler l’adresse email réelle intégrée dans le vrai JID.
Les chercheurs ont démontré que ce processus pouvait être exécuté en moins d’une seconde par cible, les noms d’utilisateurs publics étant facilement accessibles sur les forums et réseaux sociaux.
Risques pour les utilisateurs et les cam models
Cette faille a eu des conséquences majeures pour les 20 millions d’utilisateurs de Lovense, en particulier pour les cam models qui partagent publiquement leur identifiant. Les emails exposés pouvaient entraîner :
-
Harcèlement et doxxing
-
Attaques de phishing
-
Tentatives de chantage
Cette affaire illustre les risques de confidentialité liés aux objets connectés, où même un simple identifiant peut devenir une porte d’entrée vers des données sensibles.
Réaction de Lovense et correctifs retardés
Les chercheurs ont signalé la faille le 26 mars 2025. Si Lovense a rapidement corrigé une faille critique d’usurpation de compte, la fuite d’emails a été retardée pour des raisons de compatibilité avec les anciennes versions.
L’entreprise a opté pour un plan de correction sur 14 mois, refusant un correctif rapide qui aurait imposé une mise à jour forcée. BobDaHacker a critiqué cette approche, soulignant que l’entreprise avait affirmé à plusieurs reprises que la faille était corrigée alors qu’elle ne l’était pas.
Ce n’est qu’à la fin juillet 2025 que Lovense a confirmé que la fuite d’emails et la vulnérabilité des tokens étaient totalement corrigées.
Leçons en cybersécurité
Cette affaire montre qu’un retard dans la correction d’une faille met directement les utilisateurs en danger. Les entreprises manipulant des données sensibles doivent :
-
Prioriser la sécurité avant le support des anciennes versions
-
Renforcer la sécuri
[contact-form][contact-field label= »Name » type= »name » required= »true » /][contact-field label= »Email » type= »email » required= »true » /][contact-field label= »Website » type= »url » /][contact-field label= »Message » type= »textarea » /][/contact-form]
té des API et la gestion des tokens
-
Appliquer des principes de confidentialité dès la conception
Les entreprises utilisant des plateformes connectées doivent envisager des services de surveillance et de réponse en cybersécurité avancés pour prévenir ce type de brèche.
Lisez l’article complet de BleepingComputer ici.
