On ne s’attend pas à parler cybersécurité en préparant un risotto… et pourtant. Des chercheurs en sécurité ont découvert plusieurs failles dans le célèbre Thermomix TM5 de Vorwerk

Des chercheurs en cybersécurité ont mis en lumière des failles techniques dans le Thermomix TM5, le célèbre robot multifonction de Vorwerk. En manipulant son système interne, il serait possible de prendre le contrôle de l’appareil à distance. Un scénario peu probable, mais révélateur des enjeux de sécurité même dans nos objets du quotidien.

Un appareil de cuisine… pas si anodin

Le Thermomix TM5 repose sur une carte électronique intégrant un processeur ARM, de la mémoire flash et de la mémoire vive. Des experts ont réussi à analyser ces composants pour mieux comprendre son fonctionnement… et découvrir des failles. Selon GBHackers, ils ont pu accéder à certaines zones protégées du système, révélant des fichiers chiffrés et des clés sensibles.

Le point faible ? Une faille dite de « rétrogradation », qui permettrait à un utilisateur malveillant d’installer une ancienne version du logiciel interne (le firmware), moins sécurisée. En modifiant certains éléments non protégés (comme des identifiants appelés nonces), il devient possible de contourner les mécanismes de vérification normalement en place.

Clés de chiffrement et modules de recettes

Les modules de recettes appelés Cook Sticks utilisent un chiffrement standard (AES-128) pour protéger leur contenu. Mais les chercheurs de Synacktiv. ont montré qu’il était possible d’en extraire les clés, intégrées directement dans le système, pour lire ou modifier les recettes stockées dans ces modules.

Le processus de mise à jour du Thermomix repose sur des fichiers signés numériquement. Toutefois, les failles observées permettent, dans certains cas, de tromper le système en changeant les numéros de version ou en manipulant certaines signatures. Cela rend possible l’installation d’un firmware modifié.

À retenir : vigilance pour les modèles non à jour

Le fabricant Vorwerk a déjà corrigé plusieurs failles avec la version concernée du firmware, qui empêche certaines manipulations. Pour les utilisateurs d’anciens modèles, il est recommandé de vérifier que l’appareil est bien à jour.

Des éléments comme l’absence de vérification de l’intégrité du système au démarrage ou la présence de clés de chiffrement connues peuvent permettre à un attaquant de modifier le comportement du Thermomix à distance, voire d’y installer un accès persistant. Cela peut paraître surprenant, mais c’est un rappel utile : les objets connectés, même dans la cuisine, ne sont pas à l’abri des cybermenaces.

Ces recherches ne doivent pas inquiéter outre mesure les utilisateurs, mais elles montrent l’importance de prendre en compte la sécurité numérique dans tous les appareils connectés – y compris ceux que l’on utilise chaque jour sans y penser.