Plus d’un million de machines à laver partagées souffrent d’une faille de sécurité. Grâce à cette vulnérabilité, toujours non corrigée, des millions de personnes peuvent manipuler les machines connectées à Internet pour lancer des lessives gratuitement.
Il y a quelques mois, deux étudiants de l’université de Californie à Santa Cruz (UCSC) ont découvert une faille dans l’application permettant d’accéder aux machines à laver situées sur leur campus. En exploitant la brèche, il est possible de lancer des lessives gratuitement. Dans le détail, la faille permet d’envoyer à distance des commandes aux machines à l’aide d’un ordinateur et de contourner les mécanismes de sécurité.
Comme l’explique Alexander Sherbrooke, l’un des étudiants à l’origine de la découverte, il est parvenu à communiquer avec la machine à laver de son campus à l’aide d’un script déployé depuis son ordinateur. Grâce aux instructions du script, la machine s’est mise en route. Il a pu faire une lessive sans devoir recharger le solde de son compte dans l’application, comme le montre la vidéo mise en ligne. En s’appuyant sur ce même bug, le duo a aussi réussi à créditer plus d’un million de dollars sur un compte.
À lire aussi : Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans
Des serveurs négligents
La brèche se situe dans l’API ( Application Programming Interface ) de l’application mobile. C’est grâce à cette Interface de Programmation d’Application que les appareils peuvent communiquer par le biais d’Internet. Apparemment, toutes les vérifications de sécurité sont effectuées par l’application sur le smartphone de l’utilisateur. Les serveurs sont quant à eux configurés pour approuver toutes les requêtes reçues, ce qui ouvre la porte à tous les abus. Les étudiants ont vite compris qu’il était possible d’envoyer des requêtes directement aux serveurs.
« Nous avons découvert qu’il n’y avait pas d’authentification pour l’argent que vous déposez. Donc, vous pouvez simplement dire aux serveurs “j’ai déposé 13 millions sur mon compte et ce fut un succès” et vous aurez une approbation », détaillent les étudiants dans un rapport complet.
En fait, n’importe qui peut créer un compte d’utilisateur et envoyer des commandes aux serveurs en passant par l’API, mettent en garde les étudiants. Les serveurs ne prennent pas non plus la peine de vérifier l’authenticité des adresses mail. Il est possible de créer un compte sans avoir accès à l’adresse mail renseignée.
« Je ne comprends tout simplement pas comment une entreprise aussi grande commet ce genre d’erreurs […] Dans le pire des cas, les gens peuvent facilement charger leur portefeuille et l’entreprise perd une tonne d’argent », s’étonne Iakov Taranenko, l’autre étudiant derrière la découverte.
Plus d’un million de machines touchées
La vulnérabilité concerne plus d’un million de machines à laver connectées à Internet dans les résidences et les campus du monde entier, rapporte TechCrunch. Sur son site web, CSC ServiceWorks, la société qui gère les machines, affirme être le « principal fournisseur de solutions de blanchisserie » aux États-Unis, au Canada et en Europe. Plus de « 40 millions de résidents, consommateurs, gestionnaires immobiliers et propriétaires » utilisent chaque jour l’infrastructure du groupe.
Alerté par les deux étudiants, CSC ServiceWorks n’a pas pris la peine de corriger la vulnérabilité. Face à l’absence de réaction de l’entreprise, ils ont alerté les médias ainsi que le Centre de coordination CERT de l’Université Carnegie Mellon. Celui-ci coordonne les efforts entre les chercheurs en sécurité et les entreprises pour signaler les vulnérabilités découvertes et s’assurer que celles-ci soient corrigées rapidement. Néanmoins, la faille n’a pas encore été corrigée à l’heure où nous rédigeons ces lignes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
TechCrunch