Faille informatique dans les laveries : lavez votre linge gratuitement

Une faille informatique dans un réseau mondial de laveries

Plus d’un million de machines à laver placées dans des laveries à travers le monde souffrent d’un bug qui permet de laver son linge sans payer. Cette faille informatique est présente dans le matériel de CSC ServiceWorks, un réseau mondial de laveries qui fonctionnent avec une application sur smartphone.

Une faille non corrigée à ce jour

Pour utiliser les services de ces machines, les utilisateurs doivent installer l’application CSC Go sur leur téléphone, charger leur solde et démarrer une machine à laver à proximité de leur smartphone. Cependant, cette application présente une faille de sécurité potentielle.

Une découverte par deux étudiants

Alexander Sherbrooke et Iakov Taranenko, deux étudiants de l’UC Santa Cruz, ont découvert cette faille. En utilisant un script depuis un PC portable, Sherbrooke a pu démarrer un cycle de lessive malgré un solde nul sur son compte. Ils ont même réussi à ajouter des millions de dollars à leur compte via l’application CSC Mobile Go.

Une faille dans une API

Les étudiants ont déterminé que la faille se situe dans une API qui permet aux appareils et applications de communiquer avec des serveurs en ligne. Ils ont pu contourner les contrôles de sécurité de l’application en envoyant des commandes directement aux serveurs de l’entreprise.

Une réaction de l’entreprise insuffisante

Malgré les tentatives des étudiants pour contacter l’entreprise et signaler la faille, aucune réponse n’a été donnée. L’entreprise a seulement remis à zéro leur compte sans corriger la faille, laissant ainsi une brèche potentielle aux pirates informatiques.

Source : www.science-et-vie.com