Dans un communiqué, l'enseigne a tenu à rassurer les utilisateurs après que Numerama a mis au jour plusieurs problèmes de sécurités liés à son dernier robot ménager. Mais les explications restent minces.

Lidl s’est finalement exprimé officiellement sur l’affaire autour de son robot-cuiseur Monsieur Cuisine Connect, que Numerama a mis au jour le 13 juin 2019. Ce jeudi au matin, nous publiions une enquête dans laquelle nous montrions, avec l’aide de deux Français, que l’appareil connecté disposait d’un micro secret inactif.

L’objet vendu par Lidl depuis le début du mois en France, qui permet de cuisiner des plats, a également un autre problème : il tourne sous version ancienne d’Android sans les dernières mises à jour de sécurité, qui le rend très vulnérable à de potentielles attaques. Après que le sujet a été repris par la majorité des médias français, Lidl est revenu vers nous avec un retour officiel. L’entreprise avait été prévenue 48h à l’avance de nos découvertes et n’avait pas pu nous fournir des réponses dans ces délais.

L’entreprise nous y confirme la présence d’un micro : « Dans la dernière version du Monsieur Cuisine Connect sortie le 3 juin 2019 dernier, il y a en effet la présence d’un microphone. Celui-ci n’est pas actif et ne peut être activé par le client que de façon fortuite. Le tutoriel diffusé par le média Numerama, ce matin jeudi 13 juin 2019, montre qu’il nécessite bien une action spécifique pour que le micro fonctionne. »

Plus tôt dans la journée, Michel Biero, le directeur exécutif achats et marketing de Lidl France, avait affirmé à nos confrères de BFMTV ne pas être au courant de l’existence d’un micro, avant de revenir sur ses dires.

La pub pour Monsieur Cuisine Connect de Lidl // Source : monsieur-cuisine.com

Dans notre précédent article, nous montrions comment deux Français, Alexis Viguié (@Siphonay) et Adrien Albisetti (@Sinuso), ont réussi à « déverrouiller » l’interface Android de leur Monsieur Cuisine Connect pour l’utiliser comme s’il s’agissait d’une vraie tablette.

Ces actions leur ont permis de découvrir la présence d’un microphone fonctionnel qui n’est indiqué dans aucune fiche technique, ni notice de l’appareil. Comme nous l’envisagions, Lidl explique que ce micro serait là « au cas où » le produit serait un jour nourri par un assistant vocal pour être commandé par la voix :

« Cette option de microphone est installée dans la machine pour permettre des évolutions futures comme par exemple la commande vocale. L’activation de cette dernière fera l’objet d’une mise à jour et le client pourra opter ou non pour cette fonctionnalité. L’enseigne LIDL ne souhaite cependant pas communiquer sur cette future fonctionnalité pour le moment car ce n’est pas d’actualité sur cette version « connectée » du Monsieur Cuisine sortie cette année le 3 juin en France  », continue le communiqué.

Il n’y est pas fait mention d’un nom de marque d’assistant audio particulier.

«  Lidl ne veut et ne peut accéder au micro à distance », a insisté l’enseigne dans le communiqué qu’elle nous a envoyé. Il semble évident que l’entreprise n’ait pas d’intérêt à activer le micro à distance, sauf s’il elle souhaitait abuser volontairement de ses clients — et sous peine de risquer de très très grosses sanctions. Mais il est techniquement possible qu’elle puisse avoir accès à ce micro, comme elle l’admet elle-même, si elle avait recours à une mise à jour automatique (ce qui est autorisé dans ses conditions d’utilisations) : « L’activation de cette dernière fera l’objet d’une mise à jour et le client pourra opter ou non pour cette fonctionnalité.  » Il faudra, donc, l’accord de l’usager. Lidl ne dit pas sous quelle forme celui-ci sera sollicité.

Photo @Siphonay

Quid d’Android 6 ?

Au-delà du micro secret mais inactif, qui pose surtout un souci de transparence avec les usagers, il y a la question de la version du système d’exploitation sur laquelle tourne la tablette qui fait marcher le Monsieur Cuisine Connect (MCC).

«  La tablette intégrée dans MCC tourne sur Android 6.0. », confirme également Lidl. « Il est prévu dans la notice d’utilisation des mises à jour régulières, ce qui est commun pour les appareils connectés », précise l’enseigne. « L’enseigne veille sans cesse à améliorer son offre produit en proposant des versions plus modernes et sécurisées. »

Le dernier patch de sécurité qui a été installé dans Monsieur Cuisine Connect date de mars 2017, comme l’ont constaté Alexis Viguié et Adrien Albisetti. Or l’objet a été vendu pour la première fois le 3 juin 2019 en France — et mai 2018 en Allemagne —, ce qui signifie que de nombreux patchs de sécurité et mises à jour complètes d’Android ont depuis été émis par Google.

Android 6, mise à jour de sécurité d’août 2018 // Source : Android

Or un objet connecté vulnérable peut être facilement détourné, à de nombreuses fins hypothétiques : piratage de micro, attaques de botnet… Les possibilités sont vastes et, malheureusement, les objets connectés peu sécurisés sont fréquemment abusés. Il s’agit, alors, de ne pas confondre confort et sécurisation d’un appareil : Monsieur Cuisine Connect n’a peut-être pas besoin de plus qu’Android 6, mais il faut ne faudrait pas qu’il finisse dans un botnet.

Nous avons interrogé Lidl sur ce point précis afin de savoir si la réponse de l’entreprise signifiait qu’une nouvelle mise à jour allait bientôt être proposée sur les Monsieur Cuisine Connect.

>> Pour comprendre l’importance des patchs de sécurité, lisez notre enquête ici 

 

Partager sur les réseaux sociaux