Une découverte inattendue
Deux étudiants ont découvert une faille de sécurité permettant d'activer gratuitement des cycles de lavage sur plus d'un million de machines à laver à travers le monde. Malgré plusieurs relances, le bug reste non corrigé.
Alexander Sherbrooke et Iakov Taranenko, deux étudiants américains, ont identifié une vulnérabilité dans le système des laveries connectées de CSC ServiceWorks.
Cette entreprise gère un réseau mondial de plus d'un million de machines à laver, présentes dans des résidences étudiantes, des hôtels et d'autres établissements aux États-Unis et en Europe.
Leur découverte repose sur une faille de l'application mobile CSC Go, utilisée pour recharger des comptes, payer et lancer des cycles de lavage.
Alexander Sherbrooke et Iakov Taranenko, deux étudiants américains, ont identifié une vulnérabilité dans le système des laveries connectées de CSC ServiceWorks.
Cette entreprise gère un réseau mondial de plus d'un million de machines à laver, présentes dans des résidences étudiantes, des hôtels et d'autres établissements aux États-Unis et en Europe.
Leur découverte repose sur une faille de l'application mobile CSC Go, utilisée pour recharger des comptes, payer et lancer des cycles de lavage.
Exploitation technique
À partir de leur ordinateur portable, ces futurs chercheurs en cybersécurité ont créé un script capable d'envoyer des commandes directement aux serveurs de CSC.
Ce script leur permet de manipuler leur solde, ajoutant des millions de dollars virtuels à leurs comptes, et de localiser ainsi que contrôler toutes les machines du réseau.
Malgré les nombreuses alertes envoyées par les étudiants depuis janvier, le bug persiste. L'entreprise a simplement supprimé les faux crédits ajoutés par les étudiants, sans résoudre le problème de fond.
Les étudiants s'inquiètent du manque de vigilance de CSC, soulignant que des utilisateurs peuvent facilement gonfler leur portefeuille virtuel, entraînant des pertes financières significatives pour l'entreprise.
Ce script leur permet de manipuler leur solde, ajoutant des millions de dollars virtuels à leurs comptes, et de localiser ainsi que contrôler toutes les machines du réseau.
Malgré les nombreuses alertes envoyées par les étudiants depuis janvier, le bug persiste. L'entreprise a simplement supprimé les faux crédits ajoutés par les étudiants, sans résoudre le problème de fond.
"Je ne comprends pas comment une entreprise aussi importante peut commettre de telles erreurs et ne propose aucun moyen de la contacter", a déclaré Iakov Taranenko à Techcrunch.
Les étudiants s'inquiètent du manque de vigilance de CSC, soulignant que des utilisateurs peuvent facilement gonfler leur portefeuille virtuel, entraînant des pertes financières significatives pour l'entreprise.
"Pourquoi l'entreprise ne met-elle pas en place un service de messagerie pour surveiller ce type de situation?", s'interroge Taranenko.
Intervention du centre de coordination CERT
Face à l'inaction de CSC ServiceWorks, les étudiants ont décidé de signaler leurs découvertes au centre de coordination CERT de l'université Carnegie Mellon.
Ce centre aide les chercheurs en sécurité à divulguer les failles aux fournisseurs concernés et à proposer des correctifs ainsi que des conseils au public.
La découverte de cette faille par Alexander Sherbrooke et Iakov Taranenko met en lumière des problèmes de sécurité préoccupants dans les systèmes connectés des laveries.
L'absence de réaction appropriée de CSC ServiceWorks souligne l'importance d'une gestion proactive des vulnérabilités pour éviter des pertes financières et protéger les utilisateurs.
L'odj avec BFMTV
Ce centre aide les chercheurs en sécurité à divulguer les failles aux fournisseurs concernés et à proposer des correctifs ainsi que des conseils au public.
La découverte de cette faille par Alexander Sherbrooke et Iakov Taranenko met en lumière des problèmes de sécurité préoccupants dans les systèmes connectés des laveries.
L'absence de réaction appropriée de CSC ServiceWorks souligne l'importance d'une gestion proactive des vulnérabilités pour éviter des pertes financières et protéger les utilisateurs.
L'odj avec BFMTV