Après une première mise en vente en juin, le robot-cuiseur de Lidl reviendra en France le 2 décembre : il y aura 150 000 appareils mis en vente. Il s’agit du même produit, avec les vulnérabilités que Numerama mettait en avant dans une enquête. Mais le micro inactif sera désormais mentionné dans la notice.

Vous n’avez pas fini d’entendre parler du Monsieur Cuisine Connect. L’appareil ménagé connecté commercialisé par Lidl pour la première fois en juin 2019 va revenir dans les étalages le 2 décembre prochain, comme l’avait relevé le site Les Numériques en septembre. La pub officielle de Lidl le confirme désormais : 150 000 produits seront mis en vente dans toute la France, au prix de 359 euros.

Ce robot-cuiseur connecté à très bas prix avait beaucoup fait parler de lui à l’été, de par la cohue générée par de nombreux potentiels clients qui s’étaient amassés devant les magasins Lidl pour se  le procurer. Il avait aussi été au centre d’une enquête publiée par Numerama concernant un micro déporté dans l’appareil, qui n’était mentionné à aucun endroit, et qui est potentiellement vulnérable à des attaques extérieures.

Lidl va-t-il commercialiser le même produit, six mois plus tard ? La réponse est oui.

Contactée par Numerama, l’enseigne de hard-discount  nous a confirmé qu’il s’agira du « même modèle que celui vendu en juin 2019, et donc le micro sera donc toujours déporté et inactif. » En revanche, Lidl a tout de même effectué une modification importante : « le micro sera bien indiqué dans la notice d’utilisation », nous précise-t-on, « excepté pour les reliquats de notre vente de juin dernier qui seront également remis en vente en magasins à cette occasion. » Un léger progrès, donc.

monsieru connect fond blanc

L’affaire du Monsieur Cuisine Connect et ses vulnérabilités

En juin dernier, nous avions découvert, avec l’aide de deux Français, Alexis Viguié (@Siphonay) et Adrien Albisetti (@Sinuso), que le Monsieur Cuisine Connect contenait un micro caché, alors qu’il n’était officiellement pas possible de contrôler l’appareil par la voix. Alexis et Adrien avaient réussi à « déverrouiller » l’interface Android qui permet de faire tourner la tablette du robot, et de la détourner pour en faire d’autres choses : regarder une vidéo YouTube, jouer au jeu Doom, et… passer un appel en activant le fameux micro qui n’était pas censé exister.

L’explication la plus plausible est que SilverCrest, la marque qui produit l’appareil en Chine, a simplement utilisé une banale tablette entrée de gamme pour faire fonctionner son robot-cuiseur, en gardant donc certaines fonctionnalités qui n’ont pas d’intérêt pour un robot-ménager (Bluetooth 4.0, mémoire interne de 16 Go, un processeur quad-core à 1,3 GHz, et donc, un micro).

Mais notre attention avait été attirée par le fait que le micro avait été volontairement déporté en dehors la tablette par le constructeur, par une extension mécanique, ce qui montrait qu’il y avait bien une volonté, à terme, d’utiliser ce micro. Comme nous le faisions déjà remarquer à l’époque, le micro semblait désactivé par défaut.

Intérieur du Monsieur Cuisine Connect vendu en France // Source : Adrien Albisetti (@Sinuso)

Intérieur du Monsieur Cuisine Connect vendu en France

Source : Adrien Albisetti (@Sinuso)

C’est d’ailleurs la défense qu’avait finalement donnée Lidl après publication de notre enquête : « Cette option de microphone est installée dans la machine pour permettre des évolutions futures comme par exemple la commande vocale. L’activation de cette dernière fera l’objet d’une mise à jour et le client pourra opter ou non pour cette fonctionnalité. »

En attendant, toutefois, le fameux micro n’était mentionné à aucun endroit, et les clients n’en avaient donc pas forcément la connaissance. Ce ne sera désormais plus le cas avec cette mise à jour de la notice qui accompagne le produit — toutefois, nous ne savons pas combien d’anciens produits de juin 2019 seront remis à la vente en décembre. Michel Biero, le directeur exécutif achat et marketing chez Lidl France, a affirmé aux Numériques qu’il y aurait « 1 500 exemplaires » qui n’ont pas été récupérés en juin, et donc qui seront remis à la vente tels quels, sans la nouvelle notice.

Faut-il acheter le Monsieur Cuisine Connect de Lidl ?

Autre information importante de l’affaire : la fameuse tablette qui fait fonctionner l’appareil tourne sur une version ancienne d’Android, Android 6.0, avec des correctifs de sécurité datant de 2017… Ce qui rend l’appareil vulnérable aux attaques.

Des correctifs ont-ils été apportés à ce niveau ? Au vu de la réponse de Lidl, il semblerait que non : « Le Monsieur Cuisine Connect qui sera vendu en supermarchés LIDL en décembre 2019 sera le même modèle que celui vendu en juin 2019 », affirme l’enseigne. À l’époque, l’entreprise avait répondu qu’il « est prévu dans la notice d’utilisation des mises à jour régulières, ce qui est commun pour les appareils connectés ».

Le Monsieur Cuisine Connect est un appareil qui a eu, et aura sûrement encore en décembre, beaucoup de succès : il est vendu 359 euros, pour des fonctionnalités qui semblent proches de ce que fournit le Thermomix haut de gamme, qui est trois fois plus cher.

Pouvez-vous l’acheter en toute sécurité ? Les vulnérabilités de l’appareil ne sont pas rassurantes : comme c’est le cas pour de nombreux objets connectés du quotidien, surtout entrée de gamme, des protections supplémentaires seraient nécessaires, surtout lorsque l’on sait la facilité avec laquelle certains réussissent à prendre contrôle d’objets connectés (à distance ou non) à des fins malveillantes (pirater un casino en prenant le contrôle d’un thermomètre connecté, par exemple).

Des pirates risquent-ils pour autant « d’activer votre micro à distance pour vous espionner dans votre cuisine pendant que vous faites votre soupe à l’oignon », comme on a pu l’entendre dans certaines émissions ? La probabilité est faible (et leur intérêt également), même si le risque 0 n’existe pas. Il y a plus de risques, dans des cas comme celui-ci, que des personnes mal intentionnées puissent détourner cet appareil, ainsi que des milliers d’autres, pour leur faire réaliser des commandes ciblées à distance (lancer une attaque par DDos par exemple).

Il aurait été bienvenue que Lidl fasse modifier son produit pour résoudre ces vulnérabilités potentielles avant de le remettre à la vente en décembre en France. Évidemment, cela aurait sûrement été coûteux, pour un produit qui se veut entrée de gamme, et pensé pour réduire au maximum les coûts. De même, on ne sait pas si, un jour, le produit sera équipé d’une commande vocale (comme l’affirme Lidl). L’important est que vous ayez conscience de ces fragilités, et que vous sachiez quels sont les risques potentiels à mettre dans la balance par rapport au gain obtenu par cet achat. En tout cas, vous avez désormais toutes les informations pour faire ce choix.

>> Pour relire notre enquête en entier sur le Monsieur Cuisine Connect, c’est ici

>> Pour relire les explications de Lidl à l’époque, c’est là

Cet article a été initialement publié le 28 septembre 2019


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !