Un million de machines à laver sont utilisables gratuitement à cause d’une faille

Des étudiants ont trouvé une faille qui touche un million de machines à laver en libre-service de la société CSC ServiceWorks. La vulnérabilité permet de lancer gratuitement des cycles de lavage.

CSC ServiceWorks CSC Go machines à laver faille API
© Envato
  • Des étudiants ont trouvé une faille dans l’API de l’application mobile de la société CSC ServiceWorks
  • Cette faille permet de lancer gratuitement des cycles sur un million de machines à laver en service-libre
  • CSC ServiceWorks n’a toujours pas corrigé la vulnérabilité

Alexander Sherbrooke et Iakov Taranenko, deux étudiants chercheurs à l’UC Santa Cruz, ont trouvé une faille de sécurité qui touche un million de machines à laver de la société CSC ServiceWorks que l’on trouve dans des laveries, des hôtels, des résidences et autres campus universitaires à travers les États-Unis, l’Europe et le Canada.

À lire > Des étudiants retirent 40 millions de dollars suite à un bug informatique

Des crédits illimités à cause d’une faille de sécurité

Pour utiliser les machines à laver de la société, il faut installer l’application CSC Go sur un smartphone puis charger son solde et lancer le cycle de lavage sur la machine sélectionnée. Mais ces deux étudiants ont trouvé une faille pour en profiter gratuitement et elle n’a toujours pas été corrigée par l’entreprise.

L’histoire débute en janvier, Alexander Sherbrooke se trouve à la buanderie dans le sous-sol avec son PC portable, le matin. Sans solde sur son compte, il exécute un script de code sur la machine à laver en face de lui. La manipulation fonctionne : il lance son cycle gratuitement, sans débourser le moindre centime. Les étudiants chercheurs arrivent même à créditer des millions de dollars sur leurs comptes CSC Go.

Les étudiants expliquent que CSC ServiceWorks n’a toujours pas corrigé le problème puisque leurs sollicitations n’aboutissent pas. Pourtant, le duo a tenté de les contacter via le formulaire dédié sur le site de la société et a même passé des appels téléphoniques. L’entreprise, qui a tout de même 90 ans, n’a même pas de page réservée aux failles de sécurité. En revanche, les millions de dollars de crédits du compte CSC Go des compères ont été supprimés.

À lire > Les meilleures lave-linges du moment

Une vulnérabilité dans l’API de l’application mobile

Les étudiants expliquent qu’il existe une vulnérabilité dans l’API utilisée par CSC Go qui permet aux machines à laver et à l’application de communiquer en ligne. Ils ont découvert comment envoyer eux-mêmes des commandes au serveur en contournant les contrôles de sécurité.

Selon eux, il est possible d’interagir avec “toutes les machines à laver sur le réseau de CSC ServiceWorks”, soit un million, en exploitant la faille de l’API et une liste publique de commande de serveur publiée par l’entreprise.

Source : Techcrunch