Lidl remet en vente 150 000 exemplaires de son robot-cuiseur le lundi 2 décembre, six mois après que Numerama a mis au jour des vulnérabilités au niveau de la sécurité de sa tablette, ainsi qu'un micro inactif non mentionné. Mais que risquez-vous vraiment à acheter ce produit ? On fait le point.

Le Monsieur Cuisine Connect de Lidl va à nouveau faire beaucoup parler de lui. Lundi 2 décembre 2019, l’enseigne de hard-discount remet en vente dans ses magasins physiques français pas moins de 150 000 exemplaires de son appareil d’électro-ménager.

La raison de son incroyable succès cet été ? Il serait capable de fournir des performances de cuisson qui semblent similaires à ce que proposent les appareils hauts de gamme comme le Thermomix, mais pour quatre fois moins cher. Le Monsieur Cuisine Connect sera vendu 359 euros (contre 1 299 euros pour un Thermomix TM6).

Une pub pour le retour du Monsieur Cuisine Connect // Source : Lidl

Quelques jours seulement après sa première commercialisation en France début juin, Numerama avait publié une enquête avec l’aide de deux Français, Alexis Viguié (@Siphonay) et Adrien Albisetti (@Sinuso), qui mettait en avant des vulnérabilités de sécurité au niveau de l’appareil, ainsi que la présence d’un micro dans l’appareil, inactif mais 100 % fonctionnel, et surtout, qui n’était mentionné nulle part dans la notice.

Malgré cela, Lidl nous a confirmé que le modèle qui serait mis en vente en France le 2 décembre serait exactement le même qu’en juin, «  et donc le micro sera donc toujours déporté et inactif  », avait précisé l’enseigne. Une seule amélioration : le micro devrait être cette fois-ci indiqué dans la notice d’utilisation du produit « excepté pour les reliquats de notre vente de juin dernier qui seront également remis en vente en magasins à cette occasion  » (et qui concernerait tout de même des milliers d’appareils).

Le Monsieur Cuisine Connect est un robot cuiseur connecté à internet par Wi-Fi. Il est équipé d’un écran tactile de 7 pouces qui sert principalement à consulter des recettes et gérer les cuissons. Nous avions montré qu’il tourne sous une version dépassée d’Android, avec des correctifs de sécurité datant de 2017, ce qui rend l’appareil vulnérable aux attaques. Cette information, combinée au micro fonctionnel, a donc de quoi soulever de nombreuses inquiétudes. Mais il convient d’apporter des nuances.

L’internet of things n’est pas toujours utile

Que risquez-vous vraiment à acheter un exemplaire du Monsieur Cuisine Connect ? La réponse est plus compliquée qu’elle n’y parait, car ce genre de controverse représente assez bien les dérives de ce que l’on a désormais accepté d’intégrer à notre quotidien. La vague de « l’internet of things » (IoT) ou « internet des objets » a apporté son lot de gadgets connectés pas forcément très utiles, produits à bas coût, et « reliés à internet », et dont on ne sait pas toujours comment ils fonctionnent et, surtout, comment ils ont été sécurisés.

Contacté à l’époque, Lidl avait justifié l’existence du micro inactif (mais déporté sur le côté volontairement) dans le robot-ménager par une volonté future d’y ajouter un assistant vocal — parlant d’abord d’Alexa d’Amazon, puis plutôt de Google Assistant. Or six mois plus tard, il n’y a toujours pas de contrôle vocal prévu sur l’appareil. Et si l’on prend un peu de recul, un constat s’impose de manière plus globale : était-il vraiment nécessaire de connecter le Monsieur Cuisine Connect ? L’appareil fonctionne très bien sans être relié à internet ; la seule chose qui change, c’est la mise à jour de certaines recettes.

La pub pour Monsieur Cuisine Connect de Lidl // Source : monsieur-cuisine.com

Mais l’époque est à la connexion : connexion des frigos, connexion des jouets, connexion des ampoules, connexion de thermomètres pour aquarium… autant d’objets qui ont été piratés et détournés ces dernières années. Selon une étude de Kaspersky d’octobre 2019, le nombre d’attaques visant des objets connectés peu sécurisés a été multiplié par neuf en à peine un an : l’entreprise spécialisée dans la sécurité des données a repéré 105 millions d’attaques sur la première moitié de 2019, et ce, seulement sur les objets qu’elle avait elle même utilisés comme « appâts » (on appelle ça des honeypots).

Les objets connectés peuvent être piratés à plusieurs fins : réaliser des attaques par déni de service (DDoS), qui n’ont pas pour finalité première de récupérer vos données personnelles, mais plutôt de détourner le fonctionnement des ordinateurs qui sont dans ces appareils bas de gamme pour envoyer un maximum de requêtes similaires au même moment vers un service afin de le rendre indisponible. Mais certains objets ont également été hackés dans le but de récupérer des informations personnelles sur leurs propriétaires : nom, mail, adresses, mais aussi identifiants et mots de passe. Or on sait que les internautes utilisent régulièrement les mêmes mots de passe pour des sites différents — bien que ce soit fortement déconseillé — et donc qu’une fuite de données concernant un seul site peut être dommageable pour de nombreux autres.

« Mon voisin peut-il m’espionner dans ma cuisine » ?

Soyez donc rassurés sur un point : le risque que votre voisin détourne le micro (à distance, d’autant plus !) de votre Monsieur Cuisine Connect pour vous espionner en train de mitonner des bons petits plats est très, très faible. Au passage, comme tous les appareils de ce style, le robot est d’ailleurs évidemment vulnérables aux modifications physiques  — à l’image de ce qui avait été découvert sur les Amazon Echo en 2017. D’ailleurs, si votre voisin voulait vous espionner, il userait sûrement d’autre moyens plus efficaces et moins laborieux (par exemple, en collant son oreille contre votre mur adjacent).

Il est toutefois normal que l’association « micro non indiqué dans la fiche technique » plus « tablette vulnérable aux failles de sécurité » ne soit pas rassurante : c’est d’ailleurs ce cocktail explosif qui a généré une centaine de reprises de notre enquête chez nos confrères et consœurs, parfois avec minutie, parfois en propageant un discours parfois trop alarmiste.

Le Monsieur Cuisine Connect vu du dessous // Source : Adrien Albisetti (@Sinuso) / annotations Numerama

Quelques experts dans les domaines de la sécurité numérique ont à l’inverse estimé qu’il s’agissait d’une révélation sans grand intérêt, au vu du grand nombre d’objets connectés vulnérables en circulation dans le monde. Pourtant, si même les géants de la tech comme Google sont épinglés pour des micros cachés dans leurs appareils, il semble normal que des plus petits acteurs le soient également (surtout quand ils mettent réellement peu d’efforts dans la protection des leurs clients, contrairement à Google qui ne peut pas se permettre tel scandale), afin que le public puisse avoir toutes les informations en main avant de faire un choix d’achat éclairé. Surtout lorsque le produit en question est tellement demandé qu’il provoque des mouvements de foule dans les magasins lors de sa sortie.

En résumé, il est techniquement possible que votre Monsieur Cuisine Connect puisse être piraté si vous l’avez connecté à internet — ce qui n’est pas une obligation pour qu’il fonctionne, et ce qui est donc une solution facile et efficace pour éviter de prendre des risques. Mais la probabilité est faible, même si le risque 0 n’existe pas. Le produit étant présenté comme « entrée de gamme », il est également peu surprenant (bien qu’il n’est pas rassurant de trouver ça normal) que celui-ci ne dispose pas des mesures de protection dernier cri. L’important donc, lorsque vous effectuez un achat de ce genre, est toujours de mettre dans la balance deux informations : quels sont les risques potentiels par rapport au gain obtenu par l’objet en question et le prix que vous êtes prêts à y mettre.

Et dans cette balance, un produit entrée de gamme proposé par une entreprise qui ne maîtrise ni le hardware ni le software ne pourra jamais vraiment être considéré comme sûr côté tech.

Partager sur les réseaux sociaux