Le fabricant de sextoys connectés Lovense laisse fuiter les adresses mail de ses utilisateurs depuis plusieurs mois

Au courant de deux failles de sécurité majeures depuis plusieurs mois, le fabricant de sextoys connectés Lovense ne les a toujours pas corrigées. Dans un article de blog publié fin juillet et repéré par le site spécialisé Techcrunch, un chercheur en sécurité explique que ces vulnérabilités exposent les adresses mail des utilisateurs et pire encore, permettent de prendre le contrôle de leurs comptes.

Plus de 20 millions de personnes dans le monde sont concernées. Connu sous le pseudonyme de BobDaHacker, il a découvert ces failles alors qu'il utilisait l'application. En mettant en sourdine un utilisateur, il s'est aperçu que cela révélait son adresse mail.

Un processus simple et rapide

Le chercheur a par la suite découvert comment exposer les adresses mail de tous les utilisateurs, un processus simple et rapide. "L'ensemble du processus prenait environ 30 secondes par nom d'utilisateur manuellement. Grâce au script (programme informatique, NDLR) que nous avons créé pour l'automatiser, la conversion d'un nom d'utilisateur en adresse mail a pris moins d'une seconde", a indiqué BobDaHacker.

"C'est particulièrement problématique pour les camgirls qui partagent leurs noms d'utilisateur publiquement, mais qui ne souhaitent évidemment pas que leurs adresses mail personnelles soient divulguées", a-t-il souligné.

Le chercheur a ensuite découvert qu'avec une simple adresse mail, il était possible de prendre le contrôle du compte d'un utilisateur. Plus précisément, la seconde faille permet à n'importe qui de créer des jetons d'authentification pour accéder à un compte Lovense sans mot de passe.

"Les modèles cam utilisent ces outils pour travailler, c'était donc un véritable atout. N'importe qui pouvait prendre le contrôle d'un compte simplement en connaissant son adresse mail", a déploré le chercheur.

14 mois pour corriger les failles

BobDaHacker a signalé les deux failles à Lovense en mars dernier. L'entreprise lui a alors assuré qu'elle travaillait à leur correction. Dans le même temps, le chercheur a aussi révélé l'existence de ces vulnérabilités au site Hackerone, qui offre des primes pour la découverte des bugs. Il a reçu une prime de 3.000 dollars.

Mais le plus important pour lui était de savoir si Lovense avait corrigé les deux failles, ce qui n'était pas le cas. Après plusieurs semaines de discussions, il a rendu l'affaire publique cette semaine, révélant que le fabricant l'avait informé qu'il lui faudrait 14 mois pour corriger les vulnérabilités.

"Suite à votre signalement, nous avons mené une enquête approfondie et mis en place des mesures correctives initiales. (...) Cependant, la résolution de la cause profonde nécessite un travail architectural plus approfondi. Nous avons lancé un plan de correction à long terme qui prendra environ 10 mois, et au moins 4 mois supplémentaires seront nécessaires pour mettre en oeuvre une solution complète", lui avait répondu Lovense.

Dans son message, l'entreprise expliquait aussi qu'elle disposait d'une solution plus rapide, d'un mois, pour corriger les failles, mais que celle-ci obligerait les utilisateurs à mettre à jour l'application tout en perturbant la prise en charge des anciennes versions de l'application. Raison pour laquelle elle y a renoncé.

Des failles bientôt corrigées?

Toujours dans son article de blog, BobDaHacker a dévoilé que la faille permettant de prendre le contrôle des comptes avait déjà été identifiée par une chercheuse il y a près de deux ans. Connue sous le pseudonyme de Krissy, elle lui a assuré avoir découvert cette vulnérabilité en septembre 2023 avec une autre chercheuse.

Elle avait aussi signalé la faille à Lovense, qui a prétendu l'avoir corrigée. À ce jour, le fabricant affirme avoir résolu les deux problèmes. Auprès de Techcrunch, il a déclaré que le bug de prise de contrôle était désormais entièrement résolu et que l'autre faille serait corrigée dans une mise à jour qui devrait être déployée à l'ensemble des utilisateurs la semaine prochaine.