Lidl s’est finalement exprimé officiellement sur l’affaire autour de son robot-cuiseur Monsieur Cuisine Connect, que Numerama a mis au jour le 13 juin 2019. Ce jeudi au matin, nous publiions une enquête dans laquelle nous montrions, avec l’aide de deux Français, que l’appareil connecté disposait d’un micro secret inactif.
L’objet vendu par Lidl depuis le début du mois en France, qui permet de cuisiner des plats, a également un autre problème : il tourne sous version ancienne d’Android sans les dernières mises à jour de sécurité, qui le rend très vulnérable à de potentielles attaques. Après que le sujet a été repris par la majorité des médias français, Lidl est revenu vers nous avec un retour officiel. L’entreprise avait été prévenue 48h à l’avance de nos découvertes et n’avait pas pu nous fournir des réponses dans ces délais.
L’entreprise nous y confirme la présence d’un micro : « Dans la dernière version du Monsieur Cuisine Connect sortie le 3 juin 2019 dernier, il y a en effet la présence d’un microphone. Celui-ci n’est pas actif et ne peut être activé par le client que de façon fortuite. Le tutoriel diffusé par le média Numerama, ce matin jeudi 13 juin 2019, montre qu’il nécessite bien une action spécifique pour que le micro fonctionne. »
Plus tôt dans la journée, Michel Biero, le directeur exécutif achats et marketing de Lidl France, avait affirmé à nos confrères de BFMTV ne pas être au courant de l’existence d’un micro, avant de revenir sur ses dires.
Dans notre précédent article, nous montrions comment deux Français, Alexis Viguié (@Siphonay) et Adrien Albisetti (@Sinuso), ont réussi à « déverrouiller » l’interface Android de leur Monsieur Cuisine Connect pour l’utiliser comme s’il s’agissait d’une vraie tablette.
Ces actions leur ont permis de découvrir la présence d’un microphone fonctionnel qui n’est indiqué dans aucune fiche technique, ni notice de l’appareil. Comme nous l’envisagions, Lidl explique que ce micro serait là « au cas où » le produit serait un jour nourri par un assistant vocal pour être commandé par la voix :
« Cette option de microphone est installée dans la machine pour permettre des évolutions futures comme par exemple la commande vocale. L’activation de cette dernière fera l’objet d’une mise à jour et le client pourra opter ou non pour cette fonctionnalité. L’enseigne LIDL ne souhaite cependant pas communiquer sur cette future fonctionnalité pour le moment car ce n’est pas d’actualité sur cette version « connectée » du Monsieur Cuisine sortie cette année le 3 juin en France », continue le communiqué.
Il n’y est pas fait mention d’un nom de marque d’assistant audio particulier.
« Lidl ne veut et ne peut accéder au micro à distance », a insisté l’enseigne dans le communiqué qu’elle nous a envoyé. Il semble évident que l’entreprise n’ait pas d’intérêt à activer le micro à distance, sauf s’il elle souhaitait abuser volontairement de ses clients — et sous peine de risquer de très très grosses sanctions. Mais il est techniquement possible qu’elle puisse avoir accès à ce micro, comme elle l’admet elle-même, si elle avait recours à une mise à jour automatique (ce qui est autorisé dans ses conditions d’utilisations) : «L’activation de cette dernière fera l’objet d’une mise à jour et le client pourra opter ou non pour cette fonctionnalité. » Il faudra, donc, l’accord de l’usager. Lidl ne dit pas sous quelle forme celui-ci sera sollicité.
Quid d’Android 6 ?
Au-delà du micro secret mais inactif, qui pose surtout un souci de transparence avec les usagers, il y a la question de la version du système d’exploitation sur laquelle tourne la tablette qui fait marcher le Monsieur Cuisine Connect (MCC).
« La tablette intégrée dans MCC tourne sur Android 6.0. », confirme également Lidl. « Il est prévu dans la notice d’utilisation des mises à jour régulières, ce qui est commun pour les appareils connectés », précise l’enseigne. « L’enseigne veille sans cesse à améliorer son offre produit en proposant des versions plus modernes et sécurisées. »
Le dernier patch de sécurité qui a été installé dans Monsieur Cuisine Connect date de mars 2017, comme l’ont constaté Alexis Viguié et Adrien Albisetti. Or l’objet a été vendu pour la première fois le 3 juin 2019 en France — et mai 2018 en Allemagne —, ce qui signifie que de nombreux patchs de sécurité et mises à jour complètes d’Android ont depuis été émis par Google.
Or un objet connecté vulnérable peut être facilement détourné, à de nombreuses fins hypothétiques : piratage de micro, attaques de botnet… Les possibilités sont vastes et, malheureusement, les objets connectés peu sécurisés sont fréquemment abusés. Il s’agit, alors, de ne pas confondre confort et sécurisation d’un appareil : Monsieur Cuisine Connect n’a peut-être pas besoin de plus qu’Android 6, mais il faut ne faudrait pas qu’il finisse dans un botnet.
Nous avons interrogé Lidl sur ce point précis afin de savoir si la réponse de l’entreprise signifiait qu’une nouvelle mise à jour allait bientôt être proposée sur les Monsieur Cuisine Connect.
>> Pour comprendre l’importance des patchs de sécurité, lisez notre enquête ici
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.