Cette vulnérabilité permet à quiconque de contourner le système de paiement des laveries CSC ServiceWorks et d’utiliser les machines gratuitement ! Ce qui affecte potentiellement plus d’un million de machines dans des résidences et campus universitaires à travers le monde. Malgré les avertissements répétés des étudiants, CSC ServiceWorks n’a pas encore pris de mesures pour corriger cette faille.
Les dangers de manipuler des machines à laver
Tout a commencé en janvier dernier, lorsque Alexander Sherbrooke, alors dans la buanderie de son sous-sol, expérimentait avec son ordinateur portable et un script de code. Il a rapidement réalisé qu’il pouvait démarrer un cycle de lavage sans avoir de crédit sur son compte. En quelques secondes, la machine a émis un bip sonore et affiché « PUSH START », indiquant qu’elle était prête à fonctionner sans paiement.
Les deux étudiants ont également pu simuler un solde de plusieurs millions de dollars sur leur compte de lavage via l’application mobile CSC Go, une somme « normale » pour l’app. Cette manipulation a été rendue possible par une faille dans l’API (interface de programmation) de l’application, permettant aux utilisateurs de tromper les serveurs de CSC ServiceWorks.
Sherbrooke et Taranenko ont essayé de contacter CSC ServiceWorks à plusieurs reprises en utilisant le formulaire de contact en ligne de la société et même par téléphone, sans succès. Ils ont ensuite alerté le CERT Coordination Center à l’université Carnegie Mellon, une organisation aidant les chercheurs en sécurité à divulguer les failles aux entreprises concernées et à fournir des correctifs au public.
Les étudiants ont attendu plus de trois mois, dépassant la période habituelle avant la divulgation publique, mais n’ont reçu aucune réponse de CSC ServiceWorks. Ils ont finalement présenté leurs découvertes lors d’une réunion de leur club de cybersécurité universitaire début mai.
La faille de sécurité découverte par Sherbrooke et Taranenko réside dans la manière dont l’application CSC Go communique avec les serveurs de la société. Normalement, l’application permet aux utilisateurs de recharger leur compte, de payer et de démarrer une machine à laver à proximité. Cependant, les vérifications de sécurité sont effectuées par l’application sur l’appareil de l’utilisateur et non par les serveurs de CSC, ce qui rend possible la manipulation des soldes de compte.
Les chercheurs ont découvert qu’en analysant le trafic réseau pendant l’utilisation de l’application, ils pouvaient contourner ces vérifications et envoyer des commandes directement aux serveurs de CSC, qui les acceptaient sans validation supplémentaire. Cela permet à quiconque de créer un compte utilisateur CSC Go et de manipuler les machines à laver connectées, sans que les serveurs ne vérifient l’adresse email du nouvel utilisateur.
Les deux étudiants ont souligné les dangers potentiels de cette faille. Si quelqu’un peut manipuler les commandes des machines à laver, il y a un risque que les mécanismes de sécurité intégrés pour prévenir la surchauffe et les incendies soient contournés. Cependant, pour démarrer un cycle de lavage, il faut toujours appuyer physiquement sur le bouton de démarrage de la machine, ce qui limite en partie le risque d’abus.
Malgré la suppression discrète du solde de plusieurs millions de dollars sur leur compte par CSC, la faille reste non corrigée. Taranenko exprime sa déception face à l’inaction de la société : « Je ne comprends pas comment une entreprise aussi grande peut commettre de telles erreurs et ne pas avoir de moyen de les contacter. »
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ce n’est qu’un piratage de machine à laver, cela ne va pas remettre en cause la sécurité nationale !