Plus d’un million de lave-linges de ce géant de la blanchisserie utilisables à volonté grâce à cette faille de sécurité ! Deux étudiants en cybersécurité ont réussi à pirater le système de sécurité d’une laverie automatique de renom. Explications.
États-Unis, Canada, Europe… Ce bug de sécurité permet de faire sa lessive gratuitement sur plus d’un million de machines à laver
Grâce à « l’ajout de fonds fictifs sur l’application mobile de l’entreprise », explique le quotidien régional Ouest France, Alexander Sherbrooke et Iakov Taranenko, deux étudiants américains de l’UC Santa Cruz, ont découvert un bug permettant à quiconque souhaite faire sa lessive, « de lancer des cycles de lavage gratuitement ».
Selon le média TechCrounch, c’est en tentant de « recharger leur solde sur l’application CSC Mobile Go que les deux étudiants ont repéré la faille et misé à « un piratage express sur leurs ordinateurs portables ». Et à leur grande surprise, ça a fonctionné !
La faille se trouve selon eux, « dans une API (Interface de programmation d’application) qui permet aux appareils et applications de communiquer avec les serveurs CSC ».
Un « script de codes pour manipuler le solde et envoyer des commandes aux serveurs en ligne »
C’est ainsi que les deux amis ont décidé de produire « un script de codes » afin « d’envoyer des commandes directement aux serveurs en ligne« .
La machine a aussitôt démarré un cycle alors que Sherbrooke avait 0 $ dans son compte de blanchisserie. Cela leur permet en outre, de « manipuler leur solde et de contrôler le réseau ».
Il faut savoir que les machines à laver de la société CSC ServiceWorks équipent aussi bien des laveries, des hôtels, en passant par des résidences et campus universitaires partout dans le monde, des États-Unis à l’Europe, et jusqu’au Canada.
Les étudiants chercheurs n’ont pas manqué de créditer des millions de dollars sur leurs comptes CSC Go. Ils se sont par ailleurs donnés tous les moyens pour alerter la société de la défaillance, mais en vain.
Silence totale du côté de CSC ServiceWorks
Malgré leurs relances, la situation persiste. « Je ne comprends tout simplement pas comment une entreprise aussi importante commet ce genre d’erreurs et ne propose aucun moyen de la contacter », réagit à ce sujet, Iakov Taranenko auprès de TechCrounch.
Effectivement, CSC ServiceWorks ne disposait d’aucune page dédiée à la sécurité pour signaler ce genre de failles de sécurité.
Après plusieurs messages sur le formulaire de contact en ligne de la société, Sherbrooke et Taranenko ont même passé un appel téléphonique à l’entreprise… Mais cela n’a rien donné.
Alexander Sherbrooke et Iakov Taranenko ont finalement partagé leurs conclusions avec le centre de coordination CERT de l’université Carnegie Mellon, expert dans l’aide et la prévention contre les failles de sécurité des entreprises.
Qu’est-il arrivé aux millions de dollars fictifs ?
« Nous tenons à remercier M. Sherbrooke et M. Taranenko pour leur contribution à la sécurité des entreprises comme CSC ServiceWorks et de leurs intervenants. Nous nous excusons de ne pas leur avoir répondu plus rapidement », indiquait Stephen Gilbert, vice-président du marketing de CSC.
Sans faire des vagues, l’entreprise a également effacé les millions de dollars fictifs sur le compte des jeunes hackers.