Des hackers français parviennent à pirater un Thermomix
La découverte à de quoi faire sourire. En proposant un robot-cuisine connecté, l'entreprise allemande Vorwerk s'est forcément ouverte aux failles de sécurité avec son Thermomix. Il n'en fallait pas plus pour qu'un groupe d'experts en cybersécurité ne découvrent des trous béants permettant de prendre le contrôle de l'appareil - un TM5 - afin qu'il puisse lancer des programmes.
Rapportée par Les Numériques, la publication de Synaktiv, entreprise spécialisée en cybersécurité, explique en détail cet exploit, qui démontre qu'il ne faut pas pour autant s'inquiéter des quelques trous dans la raquette.
Un accès physique à l'appareil nécessaire
Pour réussir à pirater le Thermomix TM5, ces hackers éthiques ont dû bidouiller. C'est d'abord la manière dont Thermomix vérifie la version du logiciel interne qui a permis une première approche. Celle-ci a permis l'extraction de la clé de chiffrement grâce à des garde-fous peu efficaces. Une fois en possession de cette clé, les experts ont pu injecter un logiciel malveillant. Mais il a d'abord fallu modifier la carte contenant les différents composants, en démontant le robot-cuisine.
Une fois installé, le propre logiciel de Synaktiv permet donc de contrôler le Thermomix, en lançant notamment des programmes sans action de l'utilisateur.
Synaktiv précise qu'il faut que le pirate ait un accès physique à l'appareil, qu'il doit ensuite démonter de sorte qu'il puisse outrepasser les protections de Vorverk. Qui plus est, il ne faut pas que le Thermomix TM5 ait reçu la mise à jour corrigeant la faille utilisée (la version 2.14). Celle-ci a été proposée après l'alerte de l'équipe d'experts.
Aucun accès à distance n'est donc possible, ce qui limite forcément l'intérêt de cette faille, et qui devrait aussi rassurer ceux qui imaginent déjà que leur Thermomix va se mettre à fonctionner seul.
Si le piratage prête plutôt à sourire, il ne doit pas occulter la problématique des objets connectés et de la menace qu'ils peuvent représenter s'ils ne sont pas conçus correctement, notamment dans leur micrologiciel. Il est ainsi déconseillé d'acheter des clefs USB ou des produits de stockage sur des sites douteux ou provenant de marques inconnues pour éviter qu'un logiciel espion ne s'y trouve sans vous en avertir.
Les plus lus
Qui était Blandine Daux, la Française morte dans l'accident du funiculaire au Portugal?
Après plus d'un siècle, le Cachou Lajaunie, célèbre friandise toulousaine, va disparaître: une pétition est lancée pour les sauver
"Pas de dignité": à Vendin-le-Vieil, les détenus dénoncent leurs conditions de détention dans le quartier de haute-sécurité
Ne pas manger pour "affamer" la tumeur: le jeûne peut-il guérir du cancer?
Le PSG furieux après la blessure d'Ousmane Dembélé lors d'Ukraine-France, le staff des Bleus dans le viseur