Le robot de cuisine Thermomix piraté pour sensibiliser
aux risques cachés des objets connectés
Le Thermomix TM5, robot de cuisine haut de gamme multifonctions, très répandu dans les foyers français, a fait l’objet d’une démonstration de piratage étonnante menée par Synacktiv, société française de cybersécurité offensive.
Lamartine, auteur des Harmonies poétiques, demandait « objets inanimés avez-vous une âme ? » ; en tous cas lorsqu’ils sont connectés, ils sont hackables !
Ce n’est pas une attaque malveillante, mais une expérimentation menée par des hackers, chercheurs en cybersécurité. Ce piratage dans un cadre contrôlé, permet de mettre en lumière une réalité encore peu perçue du grand public, qui concerne nos objets du quotidien. Ils sont devenus des ordinateurs comme les autres, et donc des cibles potentielles d’attaquants.
Sans modifier l’appareil physiquement, les chercheurs sont parvenus à détourner certaines de ses fonctions, telles que l’affichage de messages personnalisés à l’écran, la manipulation de la température de chauffe, ou encore le déclenchement intempestif de messages d’erreur. Une manière frappante de démontrer qu’un objet aussi familier qu’un robot de cuisine peut être instrumentalisé, une fois ses failles découvertes et exploitées.
Synacktiv n’a pas choisi le Thermomix pour le pointer du doigt, ni mettre en cause le fabricant Vorwek, d’autant que l’appareil possède un bon niveau de sécurité face à la concurrence ; mais parce qu’il incarne parfaitement la nouvelle génération d’appareils connectés, intégrant des composants informatiques parfois complexes et vulnérables. Ce type de démonstration permet de sensibiliser de manière concrète, aux enjeux de sécurité numérique dans tous les pans de notre vie quotidienne.
Il n’est pas question ici de créer la panique. L’attaque simulée reste très technique, elle est réalisée dans un cadre de recherche, et ne menace pas directement les utilisateurs. Mais le message est clair, la cybersécurité ne concerne plus seulement les ordinateurs ou les téléphones. Comme ces robots de cuisine, une variété de plusieurs milliards d’objets connectés sont en circulation, voitures, montres, enceintes, systèmes de chauffage, brosses à dents, baby phone, caméras, pacemakers, …
Fait notable, Vorwek, informé de l’opération, s’est montré très réactif. Le fabricant a pris ces travaux au sérieux et a même autorisé leur publication. Les chercheurs saluent cette attitude responsable et transparente, encore trop rare. Dialoguer avec les experts pour comprendre et corriger les failles démontre une maturité sur ces enjeux, c’est un signal fort pour le marché. Cette opération vise en effet à inciter les fabricants à intégrer des mécanismes de sécurité dès la conception de leurs produits. Car plus un appareil est connecté, plus il peut devenir une porte d’entrée s’il est mal protégé. Et outre, plus il est courant, plus ses vulnérabilités peuvent être exploitées à grande échelle si elles ne sont pas corrigées.
À l’heure où les objets connectés s’imposent dans nos vies, cette démonstration souligne l’urgence d’un nouveau réflexe collectif, celui de considérer la sécurité numérique comme une exigence de base, y compris dans nos cuisines.
RESSOURCES
Tous les détails à propos de la compromission du modèle TM5 via une attaque matérielle
- Analyse en profondeur du fonctionnement du TM5
- Création d’une Cook-key open-source (petit module contenant les recettes et permettant la connectivité Wi-FI). Les modèles 3D et le code seront publiés prochainement
- On peut théoriquement installer de nouvelles recettes sur ce modèle
A propos de Synacktiv
Entreprise française spécialisée en cybersécurité offensive, fondée en 2012 par deux experts en sécurité, ses principaux domaines d’expertise sont les tests d’intrusions, les audits de sécurité, la rétro-ingénierie, la recherche de vulnérabilités et la réponse à incidents. Synacktiv participe à des projets sensibles de renommée mondiale. Elle développe de nombreux outils de sécurité offensifs dans le cadre de ses activités.
Synacktiv est agréée PASSI RGS et LPM (Prestataire d’Audit de la Sécurité des Systèmes d’Information) & CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information) par l’ANSSI. Labellisée Cybersecurity Made In Europe par l’Alliance pour la Confiance Numérique (ACN), organisme certificateur autorisé par l’Autorité nationale des jeux (ANJ).
L’entreprise compte plus de 400 clients et emploie actuellement une équipe de plus de 200 experts en cybersécurité. Elle opère principalement depuis ses bureaux de Paris, Bordeaux, Toulouse, Lyon, Lille et Rennes. Les équipes interviennent en France, en Europe et à l’international.
A une échelle nationale ou internationale, l’implication de Synacktiv au sein de la communauté cyber se traduit par la participation à de nombreux évènements (conférences, challenges, CTF) ainsi que la publication régulière d’alertes de sécurité ou d’articles. Pour en savoir plus www.synacktiv.com