Ce jeudi, nos collègues de Numerama ont dévoilé que le robot cuiseur Monsieur Cuisine Connect de Lidl était en fait doté d’une tablette Android. Or, celle-ci utilise une version du système d’exploitation particulièrement datée et qui ne bénéficie plus des mises à jour de sécurité. De quoi craindre pour sa sécurité ?

Le robot Monsieur Cuisine Connect de SilverCrest

Ce jeudi, nos collègues de Numerama ont publié les résultats d’une enquête autour du tout dernier robot cuiseur de Lidl, le Monsieur Cuisine Connect, commercialisé sous la marque SilverCrest. Ils ont notamment dévoilé que l’appareil ménager était en fait doté d’une tablette Android, mais surtout qu’elle ne bénéficiait que de la version 6.0 du système de Google. Pire encore, le dernier patch de sécurité installé sur la tablette est celui de mars 2017.

Quels sont les risques en termes de sécurité à utiliser un robot ménager avec une version aussi vieille d’Android, c’est ce que nous allons voir dans ce dossier.

Résumé de l’affaire

Lancé au début du mois de juin en France, le robot cuiseur Monsieur Cuisine Connect de SilverCrest est l’un des principaux concurrents au fameux Thermomix. Doté d’un écran tactile et d’une connexion Internet, il permet de programmer des recettes et de se mettre à jour.

Sur le papier, tout va bien donc. Seulement, nos collègues du site Numerama ont pu découvrir que le robot ménager était en fait doté d’une véritable tablette Android. Celle-ci est basée sur la version 6.0 du système d’exploitation, Marshmallow, sortie en octobre 2015. Surtout, la dernière mise à jour de sécurité installée sur la tablette est celle de mars 2017. Depuis, rien de moins que 19 autres patchs de sécurité ont été proposés, apportant chacun des correctifs, mineurs ou majeurs, pour sécuriser les appareils sous Android. Sans ces mises à jour, la tablette reste donc particulièrement sensible à de nombreuses failles.

Quelles sont les failles non corrigées ?

Le robot Monsieur Cuisine Connect de SilverCrest utilise trois moyens de connexion : le Bluetooth, le Wi-Fi et la prise USB cachée derrière une trappe vissée. Autant de moyens pour des applications malveillantes d’être installées, en local ou à distance sur le robot cuiseur.

Vingt-six patchs de sécurité absents

Il faut dire que depuis mars 2017, vingt-six patchs de sécurité ont été déployés sur AOSP, la version Open Source d’Android. Parmi ceux-ci, on peut notamment citer celui de mars 2019 par exemple, qui corrigeait 11 failles jugées « critiques » pour l’intégrité du système. Toutes ne concernent pas tous les appareils, puisque certains correctifs sont spécifiques à un composant matériel qui n’équipe pas tous les smartphones ou tablettes. Néanmoins, toujours dans la liste du mois de mars, une faille « élevée » pouvait permettre à une application malveillante d’exécuter du code grâce à certaines autorisations. La faille n’existe plus grâce à la mise à jour de sécurité… pour les appareils qui ont été patchés. Ce n’est donc pas le cas du robot Monsieur Cuisine Connect.

Le Monsieur Cuisine Connect de Lidl est doté d’une *vieille* version d’Android

En juin 2018, c’est une autre faille qui avait été révélée. Celle-ci permettait d’installer une application malveillante depuis un ordinateur connecté en USB ou même en Wi-Fi en passant par le port 5555. Cette faille avait notamment été exploitée par un virus qui installait un mineur de cryptomonnaie sur les appareils qui avaient activé par défaut le mode débogage USB ou le mode débogage de l’ADB sans fil.

Des failles de ce type, il y en a des dizaines qui sont relevées et corrigées tous les mois par le projet Android Open Source. Autant de failles qui peuvent être exploitées par une application malveillante afin de pirater un smartphone, une tablette… ou un robot cuiseur, s’il n’a pas été mis à jour. Plus inquiétant, non seulement le robot de SilverCrest ne bénéficie pas des mises à jour de sécurité, mais il est également doté d’un microphone. Si celui-ci est désactivé par défaut, il reste bien connecté au système et est reconnu par le logiciel de la tablette. Or, par le passé, plusieurs chercheurs en sécurité ont déjà fait état des risques d’avoir un microphone sur un appareil Android, notamment pour une écoute ou un enregistrement à distance.

Pas de services Google, donc peu de protection

Un autre problème qui se pose dans le cadre du robot Monsieur Cuisine Connect de SilverCrest est l’absence des services Google. Pour utiliser leur robot en mode tablette et accéder à des applications tierces, les personnes qui ont aiguillé Numerama ont suivi un tutoriel. Celui-ci passe notamment par l’installation des Google Apps une fois la ROM flashée.

À ce niveau, ce n’est plus un robot cuiseur, c’est une passoire

Concrètement cela signifie qu’elles ne sont pas intégrées sur le Monsieur Cuisine Connect par défaut et donc que le robot cuiseur n’est pas certifié par Google. Il ne bénéficie donc pas de Google Play Protect une fois sorti du carton. En d’autres termes, non seulement le Monsieur Cuisine Connect de SilverCrest ne bénéficie pas des mises à jour de sécurité déployée sur Android depuis 20 mois, mais en plus il ne profite pas d’une barrière de sécurité qui viendrait bloquer l’installation ou l’utilisation d’une application malveillante depuis l’extérieur. À ce niveau, ce n’est plus un robot cuiseur, c’est une passoire.

Pour rappel, Google Play Protect est la solution de sécurité maison de Google. Intégré directement aux services Google, il va scanner régulièrement les applications installées sur votre appareil afin de vous protéger en cas d’application malveillante. Comme n’importe quel antivirus, il va alors vous alerter en cas de danger et vous inciter à supprimer un logiciel malveillant. En l’absence de Play Protect, pas d’antivirus.

« On néglige le risque d’attaque par vecteur physique »

Cela ne signifie néanmoins pas qu’Android n’est pas sécurisé, comme le signale Pierre-Olivier Dybman, développeur Android (et cofondateur de FrAndroid) : « Chaque application tourne dans sa propre instance de la machine virtuelle. Impossible pour une application d’en utiliser une autre (en dehors des mécanismes qui sont prévus). Impossible donc pour une application qui n’aurait pas les permissions pour faire une action X d’utiliser une autre application qui elle les aurait ». Néanmoins selon lui, l’un des principaux risques dans ce cas serait l’accès physique au robot et donc à sa prise USB : « D’une façon générale, dans l’univers des objets connectés grand public, par convention, on néglige le risque d’attaque par vecteur physique ».

Des risques limités pour le grand public

Or, d’après Imran Khan, responsable du laboratoire de protection et de l’IoT chez Avira, « Il y a des manières d’accéder à des permissions cachées et de bypasser ces techniques sur des appareils qui ne sont plus à jour ». De quoi permettre donc de passer outre le système de cloisonnement applicatif à condition d’avoir accès physique au robot Monsieur Cuisine Connect. Concrètement, dès lors il serait possible pour un spyware d’enregistrer et d’écouter toute discussion qui aurait lieu à côté du robot cuiseur grâce à son microphone. « Des personnes qui auraient réussi à exploiter des vulnérabilités pourraient écouter ou enregistrer le microphone », nous indique Jacques de La Rivière, président du fournisseur de sondes de détection des cyberattaques GateWatcher.

« Un objet connecté sous un Android pas à jour, c’est souvent beaucoup plus sécurisé qu’un objet connecté avec un OS maison »

Reste que dans la majorité des cas, il sera très difficile pour un pirate d’exploiter l’une des failles d’Android présentes sur le robot. C’est ce que nous indique Pierre-Olivier Dybman : « Il n’y a pas zéro risque, mais il y a tellement peu de risques et tellement difficiles à exploiter qu’on ne passera jamais par là. Un objet connecté sous un Android pas à jour, c’est souvent beaucoup plus sécurisé qu’un objet connecté avec un OS maison ». Pour le développeur, il faudrait qu’il y ait des failles à tous les niveaux, sur la ROM, sur les applications, sur l’accès à l’appareil et sur l’accès au réseau. Or, dans la grande majorité des cas, un tel concours de circonstances est assez rare : « un accès physique serait catastrophique pour la sécurité de l’appareil. Mais à distance, compromettre cet appareil sera très difficile ».

« le vendeur devrait communiquer sur toutes les fonctionnalités, même si elles ne sont pas activées »

Pour Imran Khan d’Avira, le constat est plus sévère, mais la principale leçon à retenir est la responsabilité de SilverCrest : « le vendeur devrait communiquer sur toutes les fonctionnalités, même si elles ne sont pas activées ». D’après lui, le constructeur devrait communiquer davantage sur la présence d’un microphone et sur la version d’Android. Surtout, il devrait proposer au plus vite une mise à jour du système d’exploitation, au moins pour corriger les failles de sécurité.

Monsieur Cuisine Connect : un micro caché sur ce robot sous Android 6 Marshmallow