Thermomix TM5 piraté : des chercheurs français dévoilent des failles

Des chercheurs français ont piraté un Thermomix TM5. Ils ont réussi à modifier son interface et à exécuter leur propre code. Un exploit technique, mais sans danger pour les utilisateurs.

Et si votre robot de cuisine pouvait faire bien plus que mijoter un risotto ? C’est ce qu’a démontré une équipe française de cybersécurité en s’attaquant au Thermomix TM5, un modèle populaire mais plus ancien. Car si Vorwerk propose aujourd’hui le Thermomix TM6 et surtout le tout récent Thermomix TM7, le TM5 reste encore très répandu dans les foyers — et il cache un fonctionnement bien plus complexe qu’il n’y paraît. En identifiant plusieurs failles, les experts de Synacktiv ont réussi à prendre le contrôle complet du robot, jusqu’à remplacer son interface par un écran personnalisé. Une démonstration impressionnante, qui rappelle que même les appareils les plus familiers peuvent, à leur façon, être détournés comme de véritables ordinateurs.

Un robot de cuisine… pas si hermétique

L’écran du Thermomix TM5 affiche le logo Synacktiv, preuve visuelle d’un piratage réussi du firmware par l’équipe française © Synacktiv

Le Thermomix TM5, ce robot culinaire très prisé dans les foyers, cache un secret inattendu. Une équipe d’experts en cybersécurité français, de la société Synacktiv, a réussi à le pirater et à en prendre le contrôle, en modifiant son logiciel interne.

Pas de panique toutefois : cette faille ne permet aucune attaque à distance. Mais elle montre que même un appareil de cuisine peut être reprogrammé comme un ordinateur, avec les bons outils… et beaucoup de technicité.

Un piratage physique, pas une attaque en ligne

Dans un rapport publié le 10 juillet 2025, Synacktiv explique comment ils ont réussi à modifier le firmware du Thermomix TM5 — le cœur logiciel de l’appareil. Pour cela, ils ont exploité trois vulnérabilités :

un manque de vérification du firmware installé,
la possibilité d’extraire la clé de chiffrement AES,
et une validation insuffisante de certaines fonctions critiques.

Grâce à cette manipulation, les chercheurs ont pu remplacer l’interface originale du robot par un écran personnalisé, affichant par exemple le logo Synacktiv, tout en conservant les fonctions physiques de l’appareil actives (molette, voyants LED, etc.).

Pas de danger immédiat pour les utilisateurs

Avant de débrancher votre Thermomix par précaution, quelques points essentiels :

l’attaque nécessite un accès physique à l’appareil et un démontage complet,
il faut des compétences poussées en cybersécurité,
et les versions logicielles récentes (à partir de la 2.14) corrigent cette faille.

Autrement dit, aucune intrusion à distance n’est possible. Ce piratage reste un exercice technique, mené dans un cadre contrôlé et sans conséquence directe pour les utilisateurs.

Une démonstration qui interroge sur nos objets du quotidien

Ce type de recherche rappelle que nos objets connectés — ou semi-connectés — ne sont jamais totalement isolés. Même un robot culinaire peut devenir un terrain d’expérimentation, à condition d’avoir les bonnes clés d’entrée.

Le rapport complet, riche en détails techniques, est consultable librement sur le site de Synacktiv.