Lovense, un fabricant de jouets pour adultes connectés, a visiblement un problème avec la sécurité. Les trous de sécurité dans les sex-toys sont assez courants, mais la faille qui touche les modèles de Lovense est dangereuse et (surtout) le fabricant prend visiblement le problème par-dessus la jambe.
BobDaHacker, sur son blog, explique avoir découvert en 2025 une grosse faille : à partir du nom d'utilisateur d'un propriétaire d'un des produits, il est trivial d'obtenir l'adresse email liée, un problème évident de sécurité. Le second problème, c'est que cette adresse email permet de se connecter aux services du fabricant, sans avoir besoin d'un mot de passe. Il explique avoir signalé le bug à Lovense fin mars 2025, et avoir reçu une prime de la part du fabricant pour la découverte.
Mais la société n'a pas corrigé les failles. Début juin, elle explique que la seconde faille a été corrigée (ce qui n'est pas le cas) et explique que pour diverses raisons, elle va prendre 14 mois pour corriger la première. Lovense explique que la correction nécessite de gros changements dans la structure de leurs services, ce qui demande plus d'un an de travail. Une correction plus rapide (un mois) a bien été envisagée, mais la compagnie considère qu'imposer une mise à jour des applications à ses clients n'est pas possible.
BobDaHacker explique que plusieurs mois plus tard (fin juillet 2025), les services de Lovense laissent toujours fuiter les adresses emails, et que la seconde faille — qui permettait de prendre la main sur un compte administrateur — n'est corrigée qu'en partie. Point amusant (ou pas), un autre chercheur en sécurité avait découvert les mêmes problèmes en 2023 et la société avait indiqué que tout était corrigé sans que ce soit le cas. De plus, Lovense communique avec ses clients pour indiquer que la fuite n'est pas avérée, ce qui est faux. En résumé, la sécurité des amateurs de sex-toys connectés n'est pas assurée et la société ne compte pas corriger les problèmes.
