Comment deux étudiants américains arrivent à faire tourner des machines à laver totalement gratuitement

Publié le 21 mai 2024 à 15h27

Les machines à laver sont aussi sujettes aux vulnérabilités. © engin akyurt / Unsplash

Deux étudiants américains ont découvert une faille de sécurité permettant à n'importe qui de ne pas payer la lessive fournie par plus d'un million de machines à laver connectées à Internet. L'entreprise qui les opère ne daigne pas leur répondre.

CSC ServiceWorks se décrit comme le principal fournisseur de services de blanchisserie commerciale et de solutions de distribution aérienne aux États-Unis, au Canada et en Europe. Ses machines à laver équipent des résidences, hôtels et universités du monde entier, mais visiblement la sécurité de ses appareils n'est pas une priorité.

Au mois de janvier, deux étudiants de l'université de Californie, Alexander Sherbrooke et Iakov Taranenko, sont parvenus à activer une machine en exécutant un script de code, malgré le fait que leur compte lié soit à sec. Plus tard, ils ont ajouté un solde virtuel de plusieurs millions de dollars sur l'un de leurs comptes de blanchisserie, leur permettant d'y accéder via l'application CSC Go.

A découvrir

Meilleur antivirus, le comparatif en novembre 2024

21 novembre 2024 à 11h06

Comparatifs services

Une histoire d'API

Selon les étudiants, la vulnérabilité se trouve dans l'API utilisée par l'application mobile, qui offre la possibilité de recharger son compte, payer et commencer une lessive sur une machine à proximité. Les serveurs de la société peuvent en effet être trompés et accepter des commandes qui modifient le solde du compte, car les contrôles de sécurité sont effectués par l'application via l'appareil de l'utilisateur, puis sont automatiquement approuvés par les serveurs.

Sherbrooke et Taranenko ont réussi à contourner les contrôles de sécurité de l'application et envoyer des commandes directement aux serveurs du CSC, qui ne sont pas disponibles par le biais de l'application elle-même. Techniquement, n'importe qui peut activer une machine de l'entreprise sans payer ou créer un faux compte chez CSC Go, car les serveurs ne vérifient pas non plus si les nouveaux utilisateurs sont propriétaires de leur adresse électronique.

Les étudiants ont souhaité alerter l'entreprise par messages et appels téléphoniques. Si leurs requêtes sont jusqu'à aujourd'hui restées sans réponse, la firme a pris soin de retirer le solde de plusieurs millions de dollars de leur compte. Ils ont décidé de dévoiler leur trouvaille auprès des médias pour faire réagir la direction.

Activer un lave-linge gratuitement et à distance, c'est bien la découverte de deux étudiants © Shutterstock

Dangers potentiels

La possibilité d'activer une machine gratuitement semble inoffensive, mais la vulnérabilité de tels appareils présente tout de même des dangers. Par exemple, l'envoi de commandes par l'intermédiaire de l'API est susceptible de contourner les restrictions de sécurité dont sont équipées les machines à laver pour éviter les surchauffes et les incendies.

« Je ne comprends pas comment une entreprise aussi importante peut commettre ce genre d'erreurs et n'avoir aucun moyen de les contacter », regrette Taranenko.

Cette affaire souligne la nécessité d'apporter des contrôles de sécurité suffisants aux objets connectés. Il est déjà arrivé que des hackers parviennent à activer des caméras depuis l'étranger ou même à accéder à des prises intelligentes.

A découvrir

Quels sont les meilleurs lave-linge ? Comparatif 2024

04 novembre 2024 à 11h35

Comparatif

Source : TechCrunch

Par Mathilde Rochefort

Avide de nouvelles technologies et particulièrement férue de la marque à la pomme, j’en fais mon métier depuis près d’une décennie. Réseaux sociaux, IA et autres applications… Je partage mon expertise quotidiennement sur le World Wide Web.

Articles de Mathilde Rochefort

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

MisterDams

Voilà deux étudiants qui ont inventé le blanchiment d’argent au sens propre. Oui, la vanne est double, sortez les tambours (hop, triple)

Par exemple, l'envoi de commandes par l'intermédiaire de l'API est susceptible de contourner les restrictions de sécurité dont sont équipées les machines à laver pour éviter les surchauffes et les incendies.

L’article d’origine est quand même plus précis sur ce point : les étudiants n’en savent absolument rien, mais s’ils ont trouvé une faille dans l’API, ils ont trouvé une faille dans tout ce qu’elle permet de gérer, mais sans savoir exactement ce qu’elle gère.

Je doute que même un lave-linge ultra-connecté de laverie automatique puisse monter à 200° ou faire tourner le tambour à 4 000 trs/min grâce à l’API, surtout sans que les sécurités de la machine ne se déclenchent tout seuls.

A mon avis c’est juste un système de monétique centralisé qui lance ensuite des programmes de lavage comme moi j’appuie sur le bouton. Ça n’en reste pas moins préoccupant, parce que ça peut mener à une escalade de droits, où ils pourraient s’amuser à créditer tout le monde pour cacher leur propre transaction, vider les comptes, accéder aux données personnelles…

Joeee

Cela montre bien les limites des appareils connectés …

mcbenny

Cela montre surtout que toute sécurité implémentée sur l’application (le frontend) doit être considérée comme non existante et doit être reproduite sur les serveurs (backend).

bennukem

Oui là, l’API ne respecte rien, même pas elle même.

juju251

Certes, mais d’un autre côté, il faut peut-être aussi se poser la question de la nécessité (ou pas) de tout connecter à Internet.
La réalité de l’IoT on la connait : Des tas de produits dont le côté sécurité est très en retrait.
Sans compter ceux qui ne seront jamais suivis par les fabricants (ni mis à jour donc).

BernardB

Il fallait y pensé de pirater une machine à lavé !!!
Ma petite nièce a un Doudou connecter, gaff aux Hackeurs pour les gros mots ??
Mon frigot m’insulte, ma cafetière me fait du thé, mon aspirateur me parle Chinois, et mon imprimante me demande une rançon sur l’ancre, non non trop matos connecter par les I.AN’s !!!

Nmut

Et ton ordi refuse de lancer ton correcteur orthographique…
Tu n’as pas de bol, mon pauvre.

gaadek

« Je ne comprends pas comment une entreprise aussi importante peut commettre ce genre d’erreurs et n’avoir aucun moyen de les contacter », regrette Taranenko.

Bah c’est simple: une boite qui a un monopole et qui cherche à maximiser ses profits n’en a rien à faire de Roger qui voudrait remonter des problèmes « non visibles »

Le jour où ça impactera les revenus, ça sera autre chose et on virera Joseph, directeur IT, pour ne pas avoir corrigé ces failles.

MisterDams

Dans le cas présent, la connexion semble justifiée. Je pense que la laverie automatique propose plusieurs établissements et que des cartes ou abonnements nécessitent une interconnexion.
Le système permet certainement de gérer aussi une partie de la maintenance à distance (alertes panne par exemple), donc un vrai gain financier pour la société qui gère.

On est en tout cas pas dans le cas du lave-linge domestique qui envoie juste une notification quand il a terminé.

BernardB

Tout à fait Thierry, les Ordi fonds se qu’ils veulent, c’est bien connu !!!