Deux étudiants américains ont découvert une faille de sécurité permettant à n'importe qui de ne pas payer la lessive fournie par plus d'un million de machines à laver connectées à Internet. L'entreprise qui les opère ne daigne pas leur répondre.
CSC ServiceWorks se décrit comme le principal fournisseur de services de blanchisserie commerciale et de solutions de distribution aérienne aux États-Unis, au Canada et en Europe. Ses machines à laver équipent des résidences, hôtels et universités du monde entier, mais visiblement la sécurité de ses appareils n'est pas une priorité.
Au mois de janvier, deux étudiants de l'université de Californie, Alexander Sherbrooke et Iakov Taranenko, sont parvenus à activer une machine en exécutant un script de code, malgré le fait que leur compte lié soit à sec. Plus tard, ils ont ajouté un solde virtuel de plusieurs millions de dollars sur l'un de leurs comptes de blanchisserie, leur permettant d'y accéder via l'application CSC Go.
30 octobre 2024 à 11h48
Une histoire d'API
Selon les étudiants, la vulnérabilité se trouve dans l'API utilisée par l'application mobile, qui offre la possibilité de recharger son compte, payer et commencer une lessive sur une machine à proximité. Les serveurs de la société peuvent en effet être trompés et accepter des commandes qui modifient le solde du compte, car les contrôles de sécurité sont effectués par l'application via l'appareil de l'utilisateur, puis sont automatiquement approuvés par les serveurs.
Sherbrooke et Taranenko ont réussi à contourner les contrôles de sécurité de l'application et envoyer des commandes directement aux serveurs du CSC, qui ne sont pas disponibles par le biais de l'application elle-même. Techniquement, n'importe qui peut activer une machine de l'entreprise sans payer ou créer un faux compte chez CSC Go, car les serveurs ne vérifient pas non plus si les nouveaux utilisateurs sont propriétaires de leur adresse électronique.
Les étudiants ont souhaité alerter l'entreprise par messages et appels téléphoniques. Si leurs requêtes sont jusqu'à aujourd'hui restées sans réponse, la firme a pris soin de retirer le solde de plusieurs millions de dollars de leur compte. Ils ont décidé de dévoiler leur trouvaille auprès des médias pour faire réagir la direction.
Dangers potentiels
La possibilité d'activer une machine gratuitement semble inoffensive, mais la vulnérabilité de tels appareils présente tout de même des dangers. Par exemple, l'envoi de commandes par l'intermédiaire de l'API est susceptible de contourner les restrictions de sécurité dont sont équipées les machines à laver pour éviter les surchauffes et les incendies.
« Je ne comprends pas comment une entreprise aussi importante peut commettre ce genre d'erreurs et n'avoir aucun moyen de les contacter », regrette Taranenko.
Cette affaire souligne la nécessité d'apporter des contrôles de sécurité suffisants aux objets connectés. Il est déjà arrivé que des hackers parviennent à activer des caméras depuis l'étranger ou même à accéder à des prises intelligentes.
Source : TechCrunch