Un robot cuiseur vendu par Lidl équipé d'un micro caché "pourrait potentiellement être piratable"

Monsieur Cuisine Connect, un robot-cuiseur de la marque Silver Crest, vendu par les supermarchés Lidl contient un micro caché. C'est ce que vient de révéler le site Numerama. Ce micro, inactif, pourrait servir à espionner les utilisateurs s'il venait à être piraté, comme l'explique Marie Turcan, journaliste à Numerama, invitée de franceinfo jeudi 13 juin.

franceinfo : Comment avez-vous découvert l'existence d'un micro dans ce robot cuiseur ?

Marie Turcan : Ce robot Silver Crest, à la base, est sorti en France il y a à peine quelques jours, provoquant des mouvements de foule absolument monumentaux parce que l'objet est vendu 350 euros. Lidl est obligé de fournir contractuellement les potentiels clients. Donc, il va y avoir des dizaines de milliers de ces appareils qui vont être écoulés. Il y a deux petits malins, très calés en informatique qui se sont dit : "C'est marrant, il y a un écran tactile, ça ressemble à une tablette. Est-ce qu'on ne pourrait pas essayer d'installer Android dessus, pour la faire fonctionner comme une tablette ?". Ils ont réussi à le faire en quelques heures. Ils partagent des tweets et des vidéos où on voit qu'ils arrivent à aller sur Youtube en cuisinant leurs petits légumes. Ils arrivent même à installer un jeu vidéo populaire qui s'appelle Doom.

Je les ai contactés. Ils me disent : "On a même réussi à avoir une conversation avec une application de messagerie vocale". Sauf que je sais qu'il n'y a pas de micro sur cet appareil. Je leur demande de faire l'expérience. Ils installent Discord, l'application de messagerie vocale. Et ils ont une conversation tous les deux à l'autre bout de la pièce, du robot cuiseur à un téléphone. Cela nous mène au premier problème. Il n'est nulle part fait mention de l'existence de ce micro, malgré le fait que le trou est visible sur l'appareil. Ce n'est pas écrit dans la fiche technique. Donc, si on veut être de bonne foi, on se dit que le fabricant a pris une tablette tout à fait classique, d'entrée de gamme, et qu'il l'a mis dans son robot. Il se trouve que la tablette est équipée d'un micro. Et ce que l'on a repéré, c'est que le micro a été déporté, c'est-à-dire qu'il n'est pas seulement dans la tablette. Ils ont tiré un fil pour le rendre accessible, pour qu'ils puissent écouter ce qui se passe autour.

Ce qui voudrait dire que c'est volontaire ? Il y a une volonté d'installer ce micro et de le rendre utilisable ?

Exactement. Il se trouve que Lidl vient de répondre à nos confrères de BFM. Au début, ils ont dit qu'ils n'étaient pas du tout au courant qu'il y avait un micro. Et puis, deux heures plus tard, la communication aidant, ils ont été mis au courant que, oui, il y a bien un micro et un haut-parleur. Car le fabricant avait dans l'idée, peut-être un jour, d'y mettre un assistant audio. Les utilisateurs n'étaient pas au courant, alors que l'objet est branché au Wi-Fi, qu'il pourrait donc être potentiellement piratable.

On a découvert également que l'objet tourne sur une version passée d'Android, Android 6, une version sortie en 2015. Plus un appareil tourne sur une version ancienne d'Android, plus il est facile de le pirater. Donc en fait, sortir un produit en  2019 en France qui tourne sur une version aussi ancienne, c'est aberrant. Lidl France répond qu'il n'y a pas besoin d'une tablette plus sophistiquée pour faire tourner l'appareil. Ça omet complètement l'idée de sécurité. Nous, on ne parle pas de sophistication. On s'en fiche que cette tablette soit bas de gamme ou que le micro n'ait pas un joli son. Là, on parle du système d'exploitation, et du fait qu'ils ont une responsabilité : celle de protéger les données des utilisateurs. Tout cela mis bout à bout, avec le fait qu'un micro existe même s'il est inactif, cela pose des questions sur la sécurité de l'appareil.

En faisant peut être un peu de science-fiction, cela veut dire que des données enregistrées, comme des conversations, pourraient être ensuite utilisées, voire vendues ?

Je comprends qu'on se pose la question. Mais c'est vraiment, là, un scénario extrême. Nous, en tout cas, on n'a pas du tout vu ce genre de choses. Déjà parce que les conversations sont chiffrées entre l'appareil et Internet. Mais il y a beaucoup de questionnements, notamment autour des assistants vocaux. Donc il y a une énorme paranoïa à cause de ça. Évidemment, ça va poser des questions. Nous, on l'a comparé à ce qui s'est passé avec Google aux États-Unis, où un produit, Nest, avait un micro caché à l'intérieur. Google ne l'avait pas dit aux utilisateurs. Même s'il n'a pas été piraté, ça reste une possibilité. On ne dit pas que ça arrivera, mais c'est normal d'être un peu parano.