Des chercheurs en cybersécurité de Synacktiv ont réussi à pirater le célèbre robot de cuisine Thermomix TM5 sans intervention physique, révélant la vulnérabilité des objets connectés du quotidien et soulignant l’urgence d’une cybersécurisation « by design » des appareils connectés.

La scène pourrait prêter à sourire, tant elle paraît éloignée des imaginaires habituels de la cybersécurité. Un robot de cuisine multifonctions, le Thermomix TM5, détourné par des hackers pour afficher des messages personnalisés, modifier les températures de cuisson ou générer des erreurs système simulées.

Cette expérience orchestrée par l’entreprise française Synacktiv n’avait pas pour but de stigmatiser un fabricant ou un secteur, mais visait un objectif pédagogique : illustrer la nécessité pour tous de comprendre les risques liés aux objets connectés, et pour les fabricants, d’intégrer la cybersécurité dès la conception des appareils connectés. Le fabricant du TM5 était d’ailleurs informé en amont et a été très réactif.

La démonstration repose sur une analyse technique approfondie de l’architecture interne du TM5, un appareil commercialisé par Vorwerk entre 2014 et 2019, toujours présent dans de nombreux foyers. Synacktiv a choisi la méthode d’attaque par rétro-ingénierie matérielle, sans altération physique. Ses chercheurs ont utilisé une méthode d’exploitation basée sur l’interface de la Cook-Key, un module amovible assurant la connectivité Wi-Fi et le chargement des recettes.

Une attaque par rétro-ingénierie matérielle, sans altération physique

Sans démonter l’appareil ni modifier ses composants physiques, les chercheurs ont répliqué une version open source de la Cook-Key, capable de se faire passer pour un module légitime tout en injectant un code malveillant dans l’environnement du robot. Grâce à cette passerelle matérielle, ils ont pu obtenir un accès racine à l’environnement Linux embarqué, contourner les protections existantes, modifier des fichiers critiques et manipuler le comportement du système. Le tout en utilisant des outils d’analyse de mémoire, de sniffing réseau et de décompilation logicielle. Des outils standards dans les opérations
de rétro-ingénierie.

Certes, les risques induits du piratage d’un cuiseur sont moins dramatiques que ceux d’un appareil sécuritaire. Dans le pire des cas on risque d’un détournement culinaire ou des messages incongrus sur l’afficheur. Le hacker peut, par exemple, injecter des recettes modifiées où la cuisson des œufs durs passe à 98 minutes, remplacer une recette de ratatouille par une version « keto » revisitée au saindoux, ou encore afficher sur l’écran de l’appareil des messages absurdes ou inquiétants tels que « Votre Thermomix va redémarrer en mode grillade ».

Plus sérieusement, l’intégrité du contenu affiché, des paramètres de cuisson ou des consignes de sécurité n’étant plus garantie, les altérations peuvent devenir problématiques si elles visent des personnes vulnérables ou si l’appareil est utilisé dans un cadre collectif ou professionnel.

Un cas d’école pour la sécurité des objets connectés

L’objectif n’était pas de déclencher une alerte sanitaire ou de provoquer des dommages physiques, mais bien d’illustrer la faisabilité d’un détournement logiciel à distance, appliqué à un objet du quotidien. Les fonctions modifiées, même anodines, sont révélatrices d’un contrôle total sur le système. Dans un contexte différent, une telle compromission pourrait viser la falsification de données sensibles ou la prise de contrôle à des fins malveillantes.

« Les objets inanimés sont désormais hackables », résume avec ironie le communiqué de Synacktiv. Et c’est bien là le message clé : tout appareil connecté, aussi familier soit-il, embarque une couche informatique comparable à celle d’un ordinateur, exposée à des vulnérabilités potentielles si les mécanismes de sécurité ne sont pas anticipés en amont.

Contrairement à de nombreux cas de divulgation de failles, cette expérimentation n’a pas été perçue comme une attaque par Vorwerk. Le fabricant a été informé en amont et s’est montré coopératif, autorisant même la publication des résultats. Cette posture d’ouverture est saluée par les chercheurs, qui y voient un exemple à suivre pour l’ensemble du secteur. Trop d’entreprises, encore aujourd’hui, perçoivent la cybersécurité comme une couche additionnelle ou une contrainte juridique, au lieu de l’intégrer comme une exigence fondamentale du design produit.

Un signal pour les fabricants : sécurité dès la conception

L’approche « security by design » que promeut cette opération s’inscrit dans une tendance de fond : face à l’explosion du nombre d’objets connectés, estimés à plus de 15 milliards dans le monde en 2023 selon Statista, les attaques ciblant ces terminaux périphériques deviennent de plus en plus rentables pour les cybercriminels. Que ce soit pour intégrer des botnets, siphonner des données d’usage ou détourner des fonctionnalités critiques, les cas d’usage malveillants sont multiples, notamment dans les secteurs de la santé, de la domotique ou de l’automobile.

Reste que l’intégration de la sécurité dès la phase de conception se heurte à une réalité rarement explicitée : l’équation économique de la cybersécurité est particulièrement complexe dans le secteur des appareils domestiques, caractérisé par des volumes élevés, des marges serrées et des attentes fortes en matière de prix public. Dans ce contexte, allouer plusieurs millions d’euros au développement de chaînes de démarrage sécurisées, de systèmes de mises à jour signées ou d’environnements d’exécution isolés se révèle souvent incompatible avec les modèles économiques des fabricants — notamment ceux qui n’appartiennent pas à la catégorie premium.

À cela s’ajoutent d’autres contraintes : l’obsolescence programmée ou logistique, la faible durée de maintenance des firmwares, ou encore la dépendance à des composants tiers (systèmes sur puce, modules Wi-Fi) dont la surface d’attaque n’est pas toujours maîtrisée.

En l’absence de régulation contraignante ou d’incitations économiques claires, nombre de fabricants privilégient encore la rapidité de mise sur le marché au détriment de la robustesse sécuritaire. D’où l’intérêt croissant pour des standards minimaux — comme l’ETSI EN 303 645 en Europe — ou pour des dispositifs de certification de type CSPN (Certification de sécurité de premier niveau) afin d’instaurer un socle de confiance accessible. Mais la question reste posée : comment créer un alignement d’intérêts entre sécurité, compétitivité et expérience utilisateur, dans un marché grand public où la perception de la cybersécurité reste secondaire jusqu’à ce qu’un incident survienne ?

De la cuisine à la cybersécurité : une prise de conscience encore incomplète

Il n’en reste pas moins vrai que ce cas met en lumière un paradoxe : alors que les entreprises investissent massivement dans la protection de leurs systèmes centraux, de nombreuses surfaces d’attaque résident aujourd’hui dans des périphéries méconnues ou sous-estimées. L’intégration croissante des objets connectés dans les environnements industriels et professionnels, usines, bâtiments intelligents, services à la personne, multiplie les risques si les principes de sécurisation ne sont pas appliqués de manière systématique.

Pour les DSI et RSSI, cette affaire constitue un rappel concret : la gestion de la surface d’exposition passe aussi par des audits réguliers des objets connectés intégrés à l’environnement de travail, et par une vigilance accrue sur les composants tiers, souvent peu documentés. Des normes telles que l’ETSI EN 303 645 ou les préconisations de l’ANSSI en matière d’objets connectés devraient servir de base minimale pour les fabricants et intégrateurs de solutions embarquées.

Dans le contexte actuel de prolifération IoT et OT, l’opération de Synacktiv n’a rien d’anecdotique. En montrant que la compromission d’un robot culinaire peut suivre une logique comparable à celle d’une attaque sur un routeur ou un serveur, elle contribue à élargir la conscience collective sur les risques numériques. À mesure que l’Internet des objets (IoT) s’infiltre dans toutes les sphères de la vie privée et professionnelle, une nouvelle exigence de maturité s’impose. Comme l’indique le rapport ENISA Threat Landscape 2024, les attaques sur les objets connectés sont désormais classées parmi les principales menaces émergentes en Europe, aux côtés des rançongiciels, des attaques par chaîne d’approvisionnement et des campagnes de désinformation ciblée.

Cette démonstration est donc bien plus qu’une curiosité technique : elle incarne un changement de paradigme. Elle rappelle que la cybersécurité ne se limite pas aux infrastructures critiques, mais concerne tout appareil capable de recevoir, d’exécuter et de transmettre des instructions, y compris ceux que l’on croyait jusqu’ici cantonnés
à la cuisine.