Peloton : chute de 15% en bourse après un rappel produit et une fuite de données

Peloton a bien profité des confinements durant lesquels ses ventes de vélos d’appartement et de tapis de course connectés ont littéralement explosé. Et si la valeur de ses titres boursiers a augmenté avec la pandémie, la société vient de perdre 15% en bourse. En cause, un rappel de produits et une fuite de données. 

D’abord, un problème de sécurité des appareils 

Le 5 mai dernier, Peloton organise le rappel de ses tapis de course Tread + et Tread pour des raisons de sécurité. La société conseille également aux clients qui disposent déjà des appareils de cesser immédiatement de les utiliser et de contacter Peloton pour un remboursement complet. 

Le PDG John Foley s’est excusé de ne pas avoir coopéré plus tôt avec la US Consumer Product Safety Commission. Cette annonce est en totale contradiction avec la réaction initiale de Peloton lorsque l’agence de protection des consommateurs a signalé un décès et des dizaines de blessures liés aux appareils de l’entreprise. Cette dernière déclare collaborer actuellement avec la CPSC pour définir de nouvelles normes de sécurité pour les tapis roulants.

À la fin de la journée, l’action de Peloton a baissé de près de 15% en bourse, ce qui correspond à une perte de 4,1 milliards de dollars environ de la valeur marchande de Peloton. Le rappel concerne environ 125 000 d’appareil Tread + et près de 1 050 Tread aux États-Unis.

Et puis une réaction tardive face à une fuite des données utilisateurs

Selon un rapport de TechCrunch, une ancienne version de l’API de Peloton, le logiciel qui permet aux vélos et aux tapis de course rappelés de l’entreprise de communiquer avec ses serveurs, pourrait avoir exposé des profils de clients. Le bug a été repéré pour la première fois par Jan Masters, un chercheur en sécurité chez Pen Test Partners. Il l’a signalé à Peloton le 20 janvier, sans réponse. La société vient tout juste de confirmer la correction du bug.

Les profils des clients peuvent potentiellement indiquer leur âge, leur situation géographique, leur date de naissance et leur historique d’entraînement. Peloton déclare que la sécurité de sa plateforme reste une priorité. La société dit chercher à améliorer en permanence son approche et son processus de collaboration avec la communauté de la sécurité externe. 

Grâce à son programme de divulgation coordonnée des vulnérabilités, un chercheur en sécurité l’a informé qu’il était en mesure d’accéder à l’API de l’entreprise et de voir les informations disponibles sur un profil Peloton. L’enseigne a pris des mesures et réglé les problèmes, mais tardé à informer le chercheur de ces efforts de correction. Cet incident a aussi pesé dans la chute de Peloton à la bourse.