Plus d’un million de machines à laver partagées souffrent d’une faille de sécurité. Grâce à cette vulnérabilité encore non corrigée, des millions de personnes peuvent manipuler des machines connectées à Internet pour faire fonctionner gratuitement des lessives.
Il y a quelques mois, deux étudiants de l’Université de Californie à Santa Cruz (UCSC) ont découvert une faille dans l’application permettant d’accéder aux machines à laver situées sur leur campus. En exploitant la brèche, il est possible de jeter le linge gratuitement. Dans le détail, la faille permet d’envoyer des commandes à des machines à distance à l’aide d’un ordinateur et de contourner les mécanismes de sécurité.
Comme l’explique Alexander Sherbrooke, l’un des étudiants à l’origine de la découverte, il a réussi à communiquer avec la machine à laver de son campus en utilisantun script déployé depuis votre ordinateur. Grâce aux instructions du script, la machine a démarré. Il a pu faire la lessive sans avoir à recharger le solde de son compte dans l’application, comme le montre la vidéo mise en ligne. Grâce à ce même bug, le duo a également réussi à créditer plus d’un million de dollars sur un compte.
A lire aussi : Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans
Serveurs négligents
La faille se situe dans l’API (Application Programming Interface) de l’application mobile. C’est grâce à cette interface de programmation d’applications que les appareils peuvent communiquer sur Internet. Apparemment, tous les contrôles de sécurité sont effectués par l’application sur le smartphone de l’utilisateur. Les serveurs sont configurés pour approuver toutes les demandes reçues, ce qui ouvre la porte à toutes sortes d’abus. Les étudiants ont rapidement compris qu’il était possible d’envoyer des requêtes directement aux serveurs.
« Nous avons découvert qu’il n’y a aucune authentification pour l’argent que vous déposez. Vous pouvez donc simplement dire aux serveurs « J’ai déposé 13 millions sur mon compte et cela a été un succès » et vous obtiendrez une approbation »détailler les étudiants dans un rapport complet.
En fait, n’importe qui peut créer un compte utilisateur et envoyer des commandes aux serveurs via l’API, préviennent les étudiants. Les serveurs ne prennent pas non plus la peine de vérifier l’authenticité des adresses email. Il est possible de créer un compte sans avoir accès à l’adresse email fournie.
« Je ne comprends tout simplement pas comment une entreprise de cette taille commet ce genre d’erreurs (…) Dans le pire des cas, les gens peuvent facilement surcharger leur portefeuille et l’entreprise perd une tonne d’argent »» s’étonne Iakov Taranenko, l’autre étudiant à l’origine de la découverte.
Plus d’un million de machines concernées
Problèmes de vulnérabilité plus d’un million de machines à laver connectées à Internet dans les résidences universitaires et les campus du monde entier, rapporte TechCrunch. Sur son site Internet, CSC ServiceWorks, la société qui exploite les machines, se présente comme le « principal fournisseur de solutions de blanchisserie » aux États-Unis, au Canada et en Europe. Plus que « 40 millions d’habitants, consommateurs, gestionnaires immobiliers et propriétaires » utiliser quotidiennement les infrastructures du groupe.
Alerté par les deux étudiants, CSC ServiceWorks n’a pas pris la peine de corriger la vulnérabilité. Devant l’absence de réaction de l’entreprise, ils ont alerté les médias ainsi que le centre de coordination du CERT de l’université Carnegie Mellon. Celui-ci coordonne les efforts entre les chercheurs en sécurité et les entreprises pour signaler les vulnérabilités découvertes et garantir qu’elles sont corrigées rapidement. Cependant, la faille n’a pas encore été corrigée au moment de la rédaction de cet article.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
TechCrunch