En 2024, le signalement d’une vulnérabilité de sécurité informatique à une grande organisation peut encore être un chemin de croix. Deux étudiants d’une université américaine, Alexander Sherbrooke et Iakov Taranenko, ont ainsi tenté en vain d’alerter une importante entreprise spécialisée dans les laveries dont le réseau de lave-linges est de l’ordre d’un million de machines.
Les étudiants ont alors mis dans la boucle le Cert de l’université Carnegie Mellon. Pendant cinq mois, « nous avons essayé d’envoyer des e-mails, des appels téléphoniques, des tickets d’assistance », en vain, déplorent-ils. La faille est finalement signalée au site TechCrunch, à la mi-mai.
Des excuses et des remerciements
Ce n’est qu’à ce moment que l’entreprise, CSC ServiceWorks, a enfin réagi. Dans une déclaration communiquée au média américain, elle s’excuse « de ne pas avoir répondu plus tôt ». Après avoir remercié les étudiants pour leur découverte, l’entreprise a précisé investir dans « plusieurs initiatives » pour améliorer sa sécurité informatique. Ces derniers ont fait part de leur étonnement: une simple adresse dédiée au signalement des vulnérabilités aurait pu leur permettre d’être mis facilement au courant.
La faille dénichée par les étudiants était pourtant de taille. Elle permettait de créditer à volonté le portefeuille de son compte utilisateur. De manière facétieuse, Alexander Sherbrooke et Iakov Taranenko avaient réussi à se créditer un solde de plusieurs millions de dollars.
Cet argent n’était pas vraiment réel, « vous ne pouvez pas faire grand-chose avec cela à part payer la lessive », s’amusent-ils.
Une vulnérabilité liée à l’API
Comme ils l’expliquent dans un post technique publié ensuite, les étudiants essayaient au départ de créer une application pour suivre l’état des machines à laver sur le campus. Ils ont alors réussi à identifier une instance pour afficher et tester les points de terminaison de l’API (Application Programming Interface) utilisée par l’application mobile.
En étudiant son fonctionnement, les étudiants ont réalisé qu’ils pouvaient créditer un compte en jouant avec la requête lançant le démarrage d’une machine à laver. En interagissant directement avec les serveurs de l’entreprise, ils pouvaient ainsi contourner les procédures de sécurité. Si l’entreprise a rapidement identifié le montant de plusieurs millions de dollars et remis à zéro, des crédits plus modestes de 50 ou 100 dollars semblent être restés inaperçus.
Au-delà de ce gag, Alexander Sherbrooke et Iakov Taranenko se sont inquiétés d’autres conséquences plus graves, au vu de la taille du réseau de machines à laver. Ils ont toutefois pu démontrer qu’il n’était pas possible de lancer à distance une – ou un million – de machines. Au moins une bonne nouvelle dans ce mauvais cas d’école d’une organisation pas assez à l’écoute de la communauté informatique.