Newsletter RadioCSIRT N°20
🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT
Bonjour,
Pour cette vingtième édition de la newsletter de RadioCSIRT, je reviens sur une question qui m’a été posée récemment par un auditeur, en pleine période estivale : faut-il patcher son Thermomix TM5 après la découverte d’une faille de sécurité ?
Ce sujet, en apparence anecdotique, soulève en réalité des enjeux techniques bien réels autour des objets connectés du quotidien – y compris ceux que nous utilisons en cuisine. À travers une analyse rigoureuse et documentée, j’examine les arguments en faveur et en défaveur de l’application immédiate d’un correctif sur cet appareil.
En complément, vous retrouverez comme chaque semaine une sélection d’articles publiés sur LinkedIn, ainsi que le récapitulatif complet des derniers épisodes du podcast RadioCSIRT.
et surtout On ne réfléchit pas. On patch !™
Bien à vous
Marc-Frédéric GOMEZ
Faut-il patcher son Thermomix TM5 après la découverte d’une faille ?
Le Thermomix TM5 est un robot de cuisine lancé en 2014, qui n’est plus un simple ustensile de cuisine mais un véritable ordinateur embarqué, et même « une cible idéale pour des cybercriminels » d’après Synacktiv.
La société de cybersécurité a récemment prouvé ces propos en détournant certaines fonctions du TM5 (affichage de messages, contrôle de la température, etc.) sans modification physique de l’appareil.
Suite à cette démonstration, un auditeur de l’émission Radio CSIRT m’a posé une question légitime en cette période estivale : « Dois-je patcher (mettre à jour) mon Thermomix ? ».
On pourrait penser qu’en vacances, on a d’autres préoccupations que la sécurité d’un robot de cuisine. Cependant, même nos appareils culinaires connectés peuvent cacher des risques numériques insoupçonnés.
Examinons donc, de manière factuelle, les arguments pour et contre l’installation d’un correctif sur votre Thermomix TM5 suite à la faille révélée.
Pourquoi appliquer le patch sur son Thermomix ?
Les failles révélées sur le Thermomix TM5 ne sont pas à prendre à la légère. Voici les principales raisons pour lesquelles il vaut mieux patcher votre appareil :
Protéger vos données et vos comptes : La vulnérabilité identifiée permettait potentiellement à un attaquant d’accéder à l’application Cookidoo liée au Thermomix et aux informations de paiement associées au compte utilisateur. En appliquant le patch (mise à jour de sécurité), vous fermez cette porte d’entrée et sécurisez vos données personnelles (recettes, identifiants, moyens de paiement) contre une exploitation malveillante.
Assurer l’intégrité du fonctionnement : Les chercheurs de Synacktiv ont montré qu’un pirate pouvait prendre le contrôle de certaines fonctions du robot : afficher des messages étranges sur l’écran, modifier les températures de cuisson, ou provoquer de fausses erreurs système. S’il s’agit ici d’une démonstration à but pédagogique, un individu malintentionné pourrait, lui, altérer des recettes de manière nuisible (par ex. changer les durées ou ingrédients) voire causer des désagréments en cuisine. Patcher votre Thermomix garantit que les paramètres de cuisson affichés restent fiables et évite qu’un tiers ne vienne « jouer » avec votre appareil à votre insu.
Éviter une utilisation malveillante future : Même si, pour l’instant, aucune attaque réelle n’a visé les Thermomix, laisser l’appareil vulnérable comporte un risque à plus long terme. La démonstration de Synacktiv a prouvé qu’on pouvait obtenir un accès persistant au système du TM5 en contournant les protections d’origine. Un tel accès pourrait permettre à un attaquant de transformer le Thermomix en espion domestique (écoute via le micro s’il y en a un, exfiltration de données, etc.) ou de saboter subtilement vos plats. Autrement dit, patcher réduit la possibilité qu’un jour quelqu’un exploite votre robot culinaire comme vecteur d’attaque (pour, par exemple, pivoter vers d’autres équipements de votre réseau domestique ou rejoindre un botnet d’objets connectés).
Bénéficier de la réaction du fabricant : Le constructeur Vorwerk a été informé en amont de la faille et a fourni une réponse rapide. La vulnérabilité découverte concerne surtout les firmwares antérieurs à la version 2.14 du Thermomix TM5, et Vorwerk a réagi en corrigeant ces failles dans les mises à jour à venir. Autrement dit, un correctif officiel est soit déjà disponible, soit imminent – et il convient de l’appliquer dès que possible. Même si le modèle TM5 n’est plus tout jeune (produit de 2014 à 2019), le fabricant montre ici son engagement à le maintenir sécurisé. Il serait dommage de ne pas profiter d’une mise à jour de sécurité mise à disposition, d’autant que Vorwerk a salué l’initiative des chercheurs et autorisé la publication des résultats. En patchant, vous encouragez aussi ces bonnes pratiques de transparence et d’amélioration continue de la sécurité.
Pourquoi hésiter à patcher le Thermomix ?
Malgré ces arguments, certains utilisateurs pourraient être tentés de ne pas se précipiter sur la mise à jour du Thermomix TM5. Quelles raisons pourraient expliquer cette réticence ?
Une exploitation technique peu probable : L’attaque réalisée par Synacktiv était surtout une démonstration technique pointue. Les chercheurs ont dû recourir à de la rétro-ingénierie et à un module matériel spécial (une copie open-source du Cook-Key Wi-Fi) pour injecter du code malveillant dans l’appareil. Ce genre de piratage requiert un savoir-faire avancé et un accès physique ou de proximité à l’appareil (ils n’ont pas pu hacker le Thermomix simplement via Internet). Il est donc peu probable qu’un cybercriminel lambda reproduise facilement ce scénario à grande échelle. En d’autres termes, la plupart des propriétaires de Thermomix ne sont sans doute pas des cibles prioritaires, ce qui peut inciter à penser que patcher immédiatement n’est pas critique.
Un impact limité en cas de piratage : Synacktiv a volontairement montré des effets plutôt ludiques de la compromission pour marquer les esprits. Par exemple, ils ont pu modifier des recettes pour faire cuire des œufs durs 98 minutes au lieu de quelques minutes, ou afficher sur l’écran des messages absurdes du genre « Votre Thermomix va redémarrer en mode grillade ». Si ces scénarios peuvent faire sourire, ils soulignent que les conséquences directes pour l’utilisateur restent, dans ce cas de figure, peu dangereuses: des recettes ratées, des messages farfelus… rien de vraiment catastrophique comparé à d’autres cyberattaques. On n’est pas face à un ransomware chiffrant vos fichiers ou à une fuite massive de données personnelles. Ainsi, un utilisateur pourrait estimer que le risque immédiat est faible, surtout s’il surveille ce qu’il cuisine. Cette perception d’un impact limité peut conduire certains à différer le patch, le temps par exemple de finir les conserves de l’été sans interrompre le fonctionnement du robot.
Pas de menace active connue : À ce jour, la révélation de Synacktiv reste une initiative à vocation pédagogique, et non une attaque menée par des individus malveillants. Le but n’était pas de créer la panique mais de sensibiliser à la sécurité des objets connectés. D’ailleurs, Vorwerk n’a pas du tout perçu cette divulgation comme une agression : au contraire, le fabricant a coopéré et remercié les hackers pour leur démarche. Concrètement, cela signifie qu’il n’y a pas une épidémie de Thermomix piratés en circulation, ni de malware exploitant activement cette faille dans la nature. Certains usagers pourront donc se dire qu’ils peuvent attendre la prochaine révision de firmware tranquillement, ou continuer à utiliser leur TM5 hors-ligne, sans craindre un péril immédiat tant qu’aucun « vrai » pirate ne s’y intéresse. En plein été, on peut comprendre que la priorité ne soit pas aux correctifs de robots de cuisine, surtout si la menace reste théorique.
La contrainte de la mise à jour : Enfin, il ne faut pas négliger un aspect pratique : mettre à jour un appareil électroménager connecté n’est pas un réflexe pour tout le monde. Contrairement à nos smartphones ou PC qui nous rappellent les updates, le Thermomix nécessite d’initier explicitement la procédure (souvent via l’application ou en connectant la clé Cook-Key). Pour un utilisateur peu technophile, cela peut sembler fastidieux, surtout si le robot fonctionne bien au quotidien. Il y a aussi la crainte (certes infondée dans la plupart des cas) qu’une mise à jour vienne perturber l’appareil : par exemple, que de nouvelles versions ralentissent les performances, ou retirent certaines fonctions appréciées. Ce biais du « tant que ça marche, n’y touche pas » peut peser, en particulier en période estivale où l’on préfère profiter du soleil que de naviguer dans les menus de paramétrage. Ainsi, certains feront peut-être le choix de reporter le patch jusqu’à la rentrée, considérant que le jeu n’en vaut pas encore la chandelle.
Entre sécurité et tranquillité, un équilibre à trouver
En conclusion, même au cœur de l’été, la question de la cybersécurité de nos objets connectés de cuisine mérite attention. Le cas du Thermomix TM5 piraté est un signal d’alarme sans être un scénario catastrophe : il met en lumière des failles réelles qu’il est préférable de corriger, tout en rappelant qu’il s’agissait avant tout d’une expérience de sensibilisation (inutile donc de paniquer outre mesure).
Pour des experts cyber, la recommandation sera quasiment unanime : mieux vaut appliquer le patch dès qu’il est disponible, ne serait-ce que par principe de précaution. Après tout, installer une mise à jour de sécurité est la meilleure recette pour continuer à cuisiner sereinement, sans craindre qu’un hacker farceur ne vienne épicer vos plats numériques à votre insu.
Quant à ceux qui hésitent encore, gardez au moins un œil sur les annonces de Vorwerk et pensez à mettre à jour votre Thermomix lors de votre retour de vacances : un appareil de cuisine, aussi anodin soit-il, fait désormais partie de l’écosystème informatique de la maison – et à ce titre, il mérite les mêmes soins de sécurité que votre ordinateur ou votre smartphone. Bon appétit en toute sûreté !
Enjoy
Source de l’article: https://www.journaldugeek.com/2025/07/16/pirater-un-thermomix-est-beaucoup-plus-simple-que-prevu/
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Synthèse du CJIS Security Policy v6.0 – FBI, 27 décembre 2024
Une analyse complète de cette nouvelle version du CJIS Security Policy, pierre angulaire pour les services traitant des données judiciaires aux États-Unis.
👉 Lire : https://www.linkedin.com/pulse/synth%C3%A8se-du-cjis-security-policy-v60-fbi-27-d%C3%A9cembre-2024-gomez-7qave
🔹 CERT-UA : alerte sur LameHug, un malware à base de LLM utilisé contre l’Ukraine
Une nouvelle menace hybride mêlant intelligence artificielle et guerre informationnelle. Décryptage des capacités offensives de LameHug, détecté par le CERT-UA.
👉 Lire : https://www.linkedin.com/pulse/cert-ua-alerte-sur-lamehug-un-malware-%C3%A0-base-de-llm-utilis%C3%A9-gomez-937be
🎙 Récapitulatif des épisodes du podcast de la semaine
Du samedi 12 Juillet au vendredi 18 Juillet 2025
📞 Partagez vos remarques, questions ou retours :
📱 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com
🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site : https://www.radiocsirt.org
📅 Podcast RadioCSIRT du Samedi 12 Juillet 2025 (Ep.353)
📌 Au programme aujourd’hui :
🤖 Chatbots & Phishing : danger AI
Des IA populaires redirigent vers des liens frauduleux. 34 % des réponses testées sont erronées.
🔗 https://www.cysecurity.news/2025/07/is-your-bank-login-at-risk-how-chatbots.html
💻 ClickFix : contournement sans faille
Nouvelle technique d’ingénierie sociale sans exploit ni pièce jointe. Pastejacking et exécution via Win+R.
🔗 https://gbhackers.com/clickfix-the-emerging-technique-threat-actors/
🛡️ Pentagone : stratégie cyber en échec
Le Sénat exige une doctrine offensive face aux attaques persistantes contre les infrastructures critiques.
🔗 https://www.defenseone.com/policy/2025/07/sasc-pentagon-you-need-new-cyber-deterrence-plan/406677/
🧬 Laravel : 600 applis vulnérables
Fuite de APP_KEYs sur GitHub. RCE possible via CVE-2024-55556, toujours active malgré les patchs.
🔗 https://thehackernews.com/2025/07/over-600-laravel-apps-exposed-to-remote.html
📅 Podcast RadioCSIRT du Dimanche 13 Juillet 2025 (Ep.354)
📌 Au programme aujourd’hui :
🗳️ AFRINIC : élection annulée, ICANN menace d’intervenir
Fraudes présumées sur des procurations, absence de transparence, ICANN envisage des mesures exceptionnelles.
🔗 https://www.theregister.com/2025/07/11/afrinic_election_annulled_why/
🧠 GPUHammer : attaque RowHammer ciblant les GPU NVIDIA
Altération silencieuse des modèles IA. Accuracy réduite à 0,1 %. A6000 visé, ECC conseillé.
🔗 https://thehackernews.com/2025/07/gpuhammer-new-rowhammer-attack-variant.html
🔐 Bitcoin Depot : fuite de données pour 27 000 utilisateurs
Identifiants, permis et PII exfiltrés. Notification tardive, surveillance recommandée.
🔗 https://gbhackers.com/bitcoin-depot-breach-exposes-data/
📲 Telegram : un Russe extradé pour vente de données sensibles
Exploitation de bases FSB et MVD. Extradé depuis l’Indonésie. Enquête en cours en Russie.
🔗 https://therecord.media/indonesia-extradites-russian-telegram-sale
🔥 CitrixBleed 2 : exploitation confirmée, patch en 24h
CVE-2025-5777. Exploit actif, tokens de session exposés. Deadline CISA record.
🔗 https://www.cysecurity.news/2025/07/cisa-lists-citrix-bleed-2-as-exploit.html
📅 Podcast RadioCSIRT du Lundi 14 Juillet 2025 (Ep.355)
📌 Au programme aujourd’hui :
☁️ Iran : évaluation critique de l’infrastructure cloud
Panne massive des services étatiques. Audit en urgence. Manque de redondance identifié.
🔗 https://www.theregister.com/2025/07/14/iran_cloud_panel_evaluation/
💸 390 000 arnaques au support technique UK stoppées
La CBI démantèle un vaste réseau. Faux sites de Microsoft/Apple/Google. Arrestations en cours.
🔗 https://thehackernews.com/2025/07/cbi-shuts-down-390k-uk-tech-support.html
📰 Faux sites CNN, BBC, CNBC : campagne de scam massive
Leurres d’actualités pour piéger les internautes. Hameçonnage et malware. Vigilance recommandée.
🔗 https://www.malwarebytes.com/blog/news/2025/07/cnn-bbc-and-cnbc-websites-impersonated-to-scam-people
🔓 PQCScan : scanner open-source pour la cryptographie post-quantique
Outil pratique pour détecter les algorithmes vulnérables dans les projets. Démo publique disponible.
🔗 https://www.helpnetsecurity.com/2025/07/14/pqcscan-open-source-post-quantum-cryptography-scanner/
💥 Fortinet : exploit public pour vulnérabilité critique FortiWeb (CVE-2025-25257)
RCE sans authentification. Exploit déjà publié. Mettez à jour immédiatement !
🔗 https://www.helpnetsecurity.com/2025/07/14/exploits-for-unauthenticated-fortiweb-rce-are-public-so-patch-quickly-cve-2025-25257/
🧬 Cartes mères GIGABYTE : vulnérabilité UEFI exposant Secure Boot
Possibilité de malware persistant au boot. Mise à jour du firmware fortement conseillée.
🔗 https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-bypassing-secure-boot/
🕵️ RDP : une méthode forensic innovante révèle des traces cachées
Nouveau cadre d’analyse pour détecter les abus RDP passés. Avancée majeure pour les analystes.
🔗 https://gbhackers.com/new-forensic-method-reveals-hidden-traces-of-rdp-exploits/
📅 Podcast RadioCSIRT du Mardi 15 Juillet 2025 (Ep.356)
📌 Au programme aujourd’hui :
📉 CISA ajoute une vulnérabilité activement exploitée au catalogue KEV
CVE-2025-47812 affecte Wing FTP Server. Exploitation active détectée. Correction impérative.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/14/cisa-adds-one-known-exploited-vulnerability-catalog
🎓 Cambridge : conférence annuelle sur la cybercriminalité
Bilan de la conférence 2025 du Cambridge Cybercrime Centre. Nouvelles recherches sur les forums, le ransomware, la blockchain et les hacktivistes.
🔗 https://www.cambridgecybercrime.uk/conference2025.html
🖥️ Fin de Windows 10 : urgence à migrer avant octobre
Le NCSC alerte sur les risques post-EOL. Windows 11 impose TPM 2.0, UEFI et Secure Boot. Packs de configuration mis à jour.
🔗 https://www.ncsc.gov.uk/blog-post/getting-your-organisation-ready-for-windows-11-upgrade-before-autumn-2025
🤖 Google Gemini : détournement des résumés pour le phishing
Injection de prompts invisibles via HTML/CSS. Résumés manipulés sans lien ou pièce jointe. Vecteurs potentiels dans tout Workspace.
🔗 https://www.cysecurity.news/2025/07/google-gemini-bug-exploits-summaries.html
🐍 Interlock : le ransomware adopte la méthode FileFix
Nouvelle technique d’ingénierie sociale pour exécuter un RAT via PowerShell. Déguisement de commande dans l’explorateur Windows.
🔗 https://www.bleepingcomputer.com/news/security/interlock-ransomware-adopts-filefix-method-to-deliver-malware/
🔓 DOGE : une clé API xAI privée exposée sur GitHub
Marko Elez publie accidentellement un accès à 52 LLMs. Aucune révocation en cours. Antécédents inquiétants.
🔗 https://krebsonsecurity.com/2025/07/doge-denizen-marko-elez-leaked-api-key-for-xai/
📊 MITRE lance AADAPT : un framework pour les menaces crypto
Inspiré d’ATT&CK. Cartographie des TTPs sur smart contracts, consensus et écosystèmes crypto. Outil pour institutions et développeurs.
🔗 https://www.helpnetsecurity.com/2025/07/14/mitre-aadapt-adversarial-actions-in-digital-asset-payment-technologies/
📅 Podcast RadioCSIRT du Mercredi 16 Juillet 2025 (Ep.357)
📌 Au programme aujourd’hui :
🌐 Google Chrome : faille critique CVE-2025-6558 activement exploitée
Évasion du bac à sable via ANGLE et GPU. Découverte par le Threat Analysis Group de Google. Mettez à jour vers la version 138.0.7204.157.
🔗 https://thehackernews.com/2025/07/urgent-google-releases-critical-chrome.html
🚨 Opération Eastwood : Europol frappe NoName057(16)
Infrastructures DDoS pro-russes démantelées dans 7 pays. 2 arrestations, 7 mandats européens, plus de 100 serveurs saisis.
🔗 https://www.bleepingcomputer.com/news/security/europol-disrupts-pro-russian-noname05716-ddos-hacktivist-group/
📡 Malware dans les enregistrements DNS : nouvelle technique furtive
Utilisation détournée des enregistrements TXT pour héberger du code malveillant. Hexdump reconstitué via requêtes DNS.
🔗 https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/
💾 Seagate commercialise ses disques durs 30 To
Technologie HAMR disponible pour tous. Modèles IronWolf Pro et Exos M à 600 $. CMR uniquement, plateforme Mosaic 3+.
🔗 https://arstechnica.com/gadgets/2025/07/seagates-massive-30tb-600-hard-drives-are-now-available-for-anyone-to-buy/
🔐 Cryptographie embarquée : protocole SerialGuard
Implémentation légère sur ESP32. Briques XChaCha20, Poly1305, BLAKE2b et X25519. Gestion de sessions chiffrées via PSK et DH.
🔗 https://linuxfr.org/news/cryptographie-embarquee-briques-de-base-et-communication-avec-serialguard
📅 Podcast RadioCSIRT du Jeudi 17 Juillet 2025 (Ep.358)
📌 Au programme aujourd’hui :
🛑 PUTTY.ORG n’a aucun lien avec le client SSH PuTTY
Le site PUTTY.ORG héberge désormais des contenus antivax. Il est détenu par Bitvise, éditeur tiers sans lien avec Simon Tatham, créateur de PuTTY.
🔗 https://www.theregister.com/2025/07/17/puttyorg_website_controversy/
🛠️ Microsoft accorde 6 mois de sursis pour Exchange et Skype Server
Prolongation payante des mises à jour critiques jusqu’en avril 2026. Uniquement pour les clients souscrivant à l’ESU. Pas de diffusion publique.
🔗 https://www.theregister.com/2025/07/17/microsoft_extended_security_exchange_skype_server/
🎯 Chine : cyberattaques ciblées contre l’industrie taïwanaise des semi-conducteurs
Trois groupes APT identifiés par Proofpoint. Utilisation de Cobalt Strike, backdoors personnalisées, et hameçonnage ciblé de haut niveau.
🔗 https://thehackernews.com/2025/07/chinese-hackers-target-taiwans.html
⚠️ CERT-UA : alerte sur LAMEHUG, un malware IA utilisé contre le secteur Défense
LAMEHUG, développé en Python, utilise un LLM via HuggingFace pour générer des commandes. Attribution à APT28 (UAC-0001).
🔗 https://cert.gov.ua/article/6284730 🔗https://www.linkedin.com/pulse/cert-ua-alerte-sur-lamehug-un-malware-%C3%A0-base-de-llm-utilis%C3%A9-gomez-937be
💣 Un ancien soldat US plaide coupable pour piratage et extorsion
Cameron Wagenius alias Kiberphant0m a compromis des opérateurs télécoms (AT&T, Verizon), vendu les données et mené des attaques SIM-swap.
🔗 https://securityaffairs.com/180009/cyber-crime/former-us-army-member-confesses-to-telecom-hack-and-extortion-conspiracy.html
🛰️ Salt Typhoon : 9 mois d’intrusion dans la Garde nationale américaine
Vol massif de fichiers de configuration réseau, identifiants admin, et PII. Vulnérabilités Cisco et Palo Alto exploitées. Opération attribuée à l’État chinois.
🔗 https://www.bleepingcomputer.com/news/security/chinese-hackers-breached-national-guard-to-steal-network-configurations/
📅 Podcast RadioCSIRT du Vendredi 18 Juillet 2025 (Ep.359)
📌 Au programme aujourd’hui :
🛠️ CISA ajoute une faille Fortinet à son catalogue KEV
La CVE-2025-25257, une vulnérabilité SQLi affectant FortiWeb, fait désormais partie des vulnérabilités activement exploitées selon la CISA.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/18/cisa-adds-one-known-exploited-vulnerability-catalog
📱 Massistant : nouvel outil chinois de forensic mobile
Successeur de MFSocket, l’outil accède aux SMS, photos, audio, GPS et contacts. Développé par Meiya Pico et détectable sur les appareils ciblés.
🔗 https://www.schneier.com/blog/archives/2025/07/new-mobile-phone-forensics-tool.html
⚖️ Meta règle un recours collectif sur Cambridge Analytica
Plainte de 8 milliards $ contre Zuckerberg et d’anciens cadres pour mauvaise gestion des données utilisateurs. Un accord a été trouvé, montant confidentiel.
🔗 https://therecord.media/meta-investors-zuckerberg-settle-privacy-lawsuit
🔓 Déchiffreur gratuit pour Phobos et 8Base
La police japonaise publie un outil officiel pour restaurer les fichiers chiffrés. Compatible avec les variantes .phobos, .8base, .LIZARD, etc.
🔗 https://www.bleepingcomputer.com/news/security/new-phobos-ransomware-decryptor-lets-victims-recover-files-for-free/
📱 Apple poursuit un YouTuber pour fuite de secrets iOS 26
Jon Prosser accusé d’avoir diffusé des images d’un iPhone de développement via un complice. Apple réclame la suppression de toutes les données.
🔗 https://www.theregister.com/2025/07/18/apple_sues_youtuber_ios_leak/