[Info Numerama] Le tout nouveau robot-cuiseur connecté de Lidl fait un carton en France depuis début juin 2019. En voulant s'amuser à détourner son écran tactile, deux Français ont découvert plusieurs éléments curieux dans le fonctionnement de l'appareil. Avec leur aide, Numerama met au jour l'existence d'un micro secret inactif, qui pourrait être vulnérable aux attaques.

La sortie du Monsieur Cuisine Connect de Lidl en France n’est pas passée inaperçue. Ce robot-cuiseur concurrent low cost du célèbre Thermomix a été mis en vente lundi 3 juin 2019, provoquant de nombreux mouvements de foules dans les magasins Lidl en France. En cause : son prix très attractif de 359 euros, pour des fonctionnalités qui semblent proches de ce que fournit le haut de gamme (1 299 euros pour le Thermomix TM6).

Le succès de ce nouveau modèle de Monsieur Cuisine (le premier est sorti en 2016, sans écran connecté) est tel que Lidl s’est engagé à approvisionner 200 magasins en France pendant 15 semaines, rapporte le Parisien, soit des dizaines de milliers de produits qui seront écoulés dans l’hexagone dans les prochains mois.

Mais comment fonctionne vraiment cet objet connecté, conçu en Allemagne, produit en Chine par la marque SilverCrest et commercialisé par Lidl en France, Allemagne, Belgique, Suisse et Grande-Bretagne ? Numerama a découvert, avec l’aide de deux Français, que certaines caractéristiques de l’appareil soulevaient des interrogations. Notre enquête montre notamment qu’un micro a été installé dans le Monsieur Cuisine Connect, sans que sa présence ne soit indiquée, et sans qu’il n’y ait de justification apparente.

Un micro secret inactif, mais fonctionnel

Le Monsieur Cuisine Connect est un robot cuiseur connecté à internet par Wi-Fi. Il est équipé d’un écran tactile connecté de 7 pouces qui sert principalement à consulter des recettes et gérer les cuissons.

Quelques jours après avoir dégoté le produit chez Lidl, Alexis Viguié (@Siphonay) et Adrien Albisetti (@Sinuso), deux Français qui touchent un peu en informatique, ont décidé de s’amuser avec l’appareil pour voir comment il était fait. « Un ami lui a donné le défi de faire tourner Doom dessus », nous explique Alexis. Doom, jeu vidéo culte, est quasiment devenu un mème dans la communauté de fans, qui, pour rigoler, essaient de l’installer sur de nombreux appareils qui n’ont pas été conçus pour ça.

Au bout de quelques minutes, les deux hommes remarquent que le clavier utilisé par Monsieur Connect est celui d’Android, le système d’exploitation le plus utilisé au monde — sur lequel tournent une grande partie des smartphones et objets connectés à ce jour.

Après quelques recherches en ligne, ils ont découvert le tutoriel d’un Allemand qui avait réussi à « déverrouiller » l’interface Android de son Monsieur Cuisine Connect, et à l’utiliser comme s’il s’agissait d’une vraie tablette. Ils sont parvenus à reproduire le processus, puis ont montré le résultat dans une vidéo YouTube. On y voit que le Monsieur Cuisine Connect peut ainsi être utilisé, pendant qu’il fait à manger, pour regarder une vidéo YouTube ou surfer sur le site de FranceInfo.

Mais un détail a attiré notre attention : les deux hommes ont également réussi à faire fonctionner le micro intégré à l’appareil. Or officiellement, l’appareil n’a aucun micro.

Il n’est fait mention nulle part de son existence, ni sur le site officiel, ni dans la notice d’utilisation que nous avons consultée. Pourtant, il est en parfait état de marche. Les deux Français ont accepté de tourner une vidéo pour Numerama, dans laquelle on voit qu’ils arrivent à discuter via l’application de messagerie vocale Discord, via les hauts-parleurs et le micro intégré.

Le microphone semble désactivé par défaut. « L’application de base du firmware ne demande pas la permission Android pour utiliser le microphone », nous confirme Alexis Viguié. Mais pourquoi, alors, l’appareil en est-il équipé ? Contacté par Numerama, Lidl a pris connaissance de nos questions mais n’est pas revenu vers nous dans le délai de 48 heures proposé par la rédaction. L’enseigne a finalement répondu à nos questions après publication, dans un communiqué qu’elle nous a transmis à 16h le 13 juin.

>> Pour lire les réponses de Lidl, suivez ce lien

La réponse la plus simple est à chercher du côté de la tablette (entrée de gamme) qui a été intégrée au Monsieur Cuisine Connect, et qui n’a quasiment pas été modifiée pour correspondre aux besoins du robot cuiseur. Comme l’ont remarqué Alexis Viguié et Adrien Albisetti, elle a des fonctions supplémentaires qui ne servent à rien pour cuisiner, ce qui laisse penser que le constructeur ne se serait simplement pas embêté à personnaliser l’appareil en détail, mais a simplement repris une tablette avec ses fonctionnalités existante. On y trouve du Bluetooth 4.0, une mémoire interne de 16 Go (ce qui est énorme par rapport aux besoins très faibles en stockage du produit), un processeur quad-core à 1,3 GHz, et… un micro.

On pourrait donc penser que le microphone était dans la tablette à l’origine et qu’il existe donc par défaut, sans qu’il s’agisse d’un choix du constructeur de l’ajouter. Mais lorsque l’on démonte Monsieur Cuisine Connect, on constate que le micro a en fait été déporté volontairement par le constructeur sur le côté, en dehors de la tablette, par une extension mécanique.

Dans une vidéo de la chaîne YouTube allemande Gauster Haus, dans laquelle le youtubeur a démonté l’appareil en mai 2018, on voit bien que deux éléments ont été déportés : à gauche, le micro, à droite, une sortie son sous forme de petit haut-parleur (capture d’écran avec nos annotations ci-dessous).

Ce sont les mêmes composants qu’Adrien Albisetti a retrouvés en démontant l’appareil lui-même, comme Numerama a pu le constater dans les photos qu’il nous a fournies. On remarque d’ailleurs que le micro est similaire, mais le haut-parleur semble plus grand que sur le modèle du youtubeur allemand en 2018.

Lorsque l’on observe l’appareil de l’extérieur, il n’y a d’ailleurs pas de doute : il y a bien deux zones de trous qui ont été percées des deux côtés de la ventilation (ventilateur que l’on voit sur l’image de l’intérieur ci-dessus). On les distingue même clairement sur certaines images promotionnelles du robot mises en ligne sur le site monsieur-cuisine.com (mais pas sur d’autres, où le trou du micro n’est pas apparent).

Cela signifie que le fabricant a donc volontairement choisi de déporter le micro hors de la tablette, et de créer une sortie spécifique pour lui. Lidl prévoit-il, dans un futur proche, d’autoriser la commande par la voix ? La notice de Monsieur Cuisine Connect mentionne en tout cas bien la possibilité que l’appareil fasse des mises à jour logiciel automatiques, donc sans avoir besoin de l’accord de l’utilisateur.

Une tablette sous Android 6.0

Le fait de disposer d’un micro sans avertir les utilisateurs pose déjà problème en soi : d’autres avant Lidl ont été épinglés pour des cas similaires. On se souvient récemment de Google qui a été forcé d’admettre, en février 2019, qu’un micro non actif était intégré dans le système d’alarme Nest Secure, alors que personne n’était au courant et que la fiche technique ne le mentionnait pas.

Mais l’existence de ce micro non-mentionné pourrait avoir des conséquences bien plus graves en cas de tentative de piratage de l’appareil. Or, comme l’ont observé Alexis Viguié et Adrien Albisetti, il se trouve que Monsieur Cuisine tourne sous une version ancienne d’Android, Android 6.0, avec des correctifs de sécurité datant de 2017, ce qui rend l’appareil vulnérable aux attaques.

Chaque mois, Google déploie un nouveau patch de sécurité qui permet de corriger des dizaines de failles, plus ou moins importantes, qui concernent Android mais aussi des composants tiers. Dans chaque bulletin de sécurité, l’entreprise souligne le degré de gravité de chaque vulnérabilité : « modérée », « haute » ou « critique ».

Android 6.0 est sorti en octobre 2015, et la dernière mise à jour de cette branche (6.0.1) date d’octobre 2017. Monsieur Cuisine Connect a été mis en vente pour la première fois en mai 2018 en Allemagne, soit un an après la dernière mise à jour. De plus, le dernier patch de sécurité pour Android 6.0 est sorti en août 2018 : l’entreprise aurait pu l’appliquer.

Pourquoi un produit de 2018 est-il équipé de cette ancienne version d’Android, non sécurisée qui plus est ? Lidl n’est pas revenu vers nous avec une explication. Ceci dit, il peut y avoir plusieurs éléments de réponses : le temps de développement d’un produit peut être lent, les anciennes versions d’Android sont plus simples à personnaliser… ou, tout simplement, le constructeur a pris une tablette Android en marque blanche et l’a collée « en l’état » dans son robot. Et vu que ces données ne sont pas connues des clients, les constructeurs ne se sentent pas forcément obligés d’aller au plus sécurisé.

À ce jour, nous n’avons pas pris connaissance d’une possible prise de contrôle du micro de la tablette à distance.

Mise à jour du 13 juin à 11h : Après la publication de notre article qui a été repris par des confrères, Lidl a répondu à quelques questions de nos confrères de BFM Tech, par la voix de Michel Biero, le directeur exécutif achats et marketing de Lidl, qui affirme ne pas être au courant de la présence de ce micro, et avoir pris contact avec son fournisseur pour éclaircir la situation.

Mise à jour du 13 juin à 14h30 : Michel Biero a à nouveau répondu à BFMTV [Lidl n’a toujours pas aux questions de Numerama, ndlr], affirmant à présent qu’il existe bien un micro : « Il y a bien un micro et un haut-parleur car lorsque les développeurs ont lancé le Monsieur Cuisine, il était prévu que l’appareil soit pilotable par la voix et éventuellement par Alexa (…) Nous avons laissé le micro mais il est totalement inactif et il n’est pas possible pour nous de l’activer à distance. »

Concernant le fait que l’appareil tourne sous Android 6, il estime que les développeurs auraient fait ce choix parce qu’ : « Il n’y avait pas besoin d’une tablette plus sophistiquée pour faire fonctionner l’appareil », omettant ainsi le fait qu’il ne s’agit pas ici de sophistication mais bien d’une question de sécurité et de vulnérabilités du produit.

Mise à jour du 13 juin à 16h45 : Lidl a finalement communiqué officiellement auprès de Numerama.

Des informations à nous partager ? Vous pouvez contacter la rédaction de Numerama ici ou marie.turcan@humanoid.fr, DM Twitter ou par Signal (numéro sur demande).

Article publié initialement le 13 juin 2019

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo