Deux étudiants spécialisés en cybersécurité ont découvert une vulnérabilité dans le système informatique des laveries automatiques, permettant de créditer leurs comptes et d’utiliser les machines sans payer à travers les États-Unis, le Canada et l’Europe.
Points clés
- Plus d’un million de machines à laver de CSC ServiceWorks présentent une faille informatique, rendant possible des lavages gratuits.
- Alexander Sherbrooke et Iakov Taranenko exploitent cette faille depuis janvier, permettant des lavages sans frais et l’ajout de fonds fictifs à leurs comptes.
- Malgré leurs tentatives de contact, CSC ServiceWorks n’a pas répondu, laissant la faille ouverte à des abus potentiels plus graves.
Le bug qui permet de laver gratuitement
Plus d’un million de machines à laver installées dans des laveries sont vulnérables à une faille informatique, permettant de laver son linge sans frais. Cette faille concerne les équipements de CSC ServiceWorks, un réseau mondial de laveries fonctionnant avec une application sur smartphone, et reste non corrigée à ce jour.
Pour utiliser ces machines, les clients doivent installer l’application CSC Go sur leur téléphone, créditer leur solde et lancer une machine à proximité de leur smartphone. Cependant, cette application comporte une faille de sécurité exploitée par deux étudiants.
Un script lancé depuis un ordinateur portable
Alexander Sherbrooke et Iakov Taranenko, deux étudiants de l’UC Santa Cruz, ont découvert cette faille en janvier dernier. Sherbrooke, alors qu’il était dans sa laverie habituelle, a tenté de démarrer un cycle de lessive via un script sur son ordinateur portable, malgré un solde nul sur son compte. Contre toute attente, la machine s’est lancée.
Non seulement ils ont pu lancer une machine sans payer, mais ils ont également réussi à ajouter des millions de dollars fictifs à leurs comptes via l’application CSC Mobile Go.
Une faille dans une API
La faille se situe dans une API (interface de programmation d’application), qui permet aux appareils et applications de communiquer avec des serveurs en ligne. Les deux étudiants ont découvert qu’ils pouvaient envoyer des commandes directement aux serveurs de l’entreprise, contournant ainsi les contrôles de sécurité de l’application.
Malgré leurs tentatives de contact pour signaler la faille à CSC ServiceWorks en janvier, via divers moyens de communication comme les formulaires en ligne et les appels téléphoniques, ils n’ont reçu aucune réponse. En revanche, leurs comptes ont été remis à zéro, indiquant que l’entreprise a pris connaissance de leurs messages.
Risques de piratage plus grave
Bien que l’entreprise ait réagi en réinitialisant leurs comptes, elle n’a pas corrigé la faille. Ainsi, les étudiants ont pu de nouveau créditer leurs comptes. Par souci d’éthique, ils ont attendu plusieurs mois avant de révéler la faille, espérant que CSC ServiceWorks la corrige.
Les étudiants s’inquiètent du fait que des pirates plus chevronnés pourraient exploiter cette vulnérabilité de manière plus dommageable, causant des pertes financières significatives pour l’entreprise. Ils critiquent également le manque de réactivité et de moyens de contact sécurisés pour signaler ce type de problème.