La lutte est réelle: Peu importe depuis combien de temps vous avez fréquenté l’université, il y a de fortes chances que vous vous souveniez de la journée de lessive. La corvée redoutée vous obligeait à rassembler vos vêtements puants et à les emmener dans une laverie automatique sur ou hors du campus. Pire encore, vous deviez dépenser votre argent limité en bière pour cette tâche (ou était-ce juste moi ?).
Deux étudiants californiens sont tombés sur un moyen d’obtenir des services de blanchisserie gratuits en exploitant une faille de sécurité. Le bug affecte plus d’un million de machines à laver connectées à Internet exploitées par CSC ServiceWorks aux États-Unis, au Canada et en Europe. La faille reste non corrigée.
Les étudiants Alexander Sherbrooke et Iakov Taranenko, qui fréquentent l’Université de Californie à Santa Cruz, ont découvert de multiples façons d’obtenir des cycles de lessive gratuits et illimités auprès des machines à laver défectueuses. La faille existe entre l’application mobile de CSC, « CSC Go », et ses serveurs backend. Cependant, les étudiants ne recherchaient pas activement un exploit lorsqu’ils l’ont trouvé (bien sûr, ce n’était pas le cas).
Sherbrooke a déclaré à TechCrunch qu’il était assis par terre dans la buanderie du sous-sol un matin de janvier avec son ordinateur portable lorsqu’il « a soudainement [had] un moment ‘oh merde**’. » Il a ensuite rapidement écrit un script simple demandant à l’application de démarrer la machine. Il a pensé que son script n’aurait aucune chance de fonctionner puisqu’il n’avait pas d’argent sur son compte de blanchisserie. À sa grande surprise, le La machine s’est allumée et a affiché les mots « Push Start ».
Sherbrooke a contacté son ami Taranenko et les deux ont tenté d’autres expériences pour voir jusqu’où ils pouvaient repousser les limites. Il s’est avéré qu’ils pouvaient aller aussi loin qu’ils le voulaient. Dans un cas, ils ont affirmé avoir ajouté plusieurs millions de dollars à l’un de leurs comptes de blanchisserie. Malgré le dépôt absurde, l’application affichait un solde de plusieurs millions de dollars.
En tentant d’informer CSC ServiceWorks, les étudiants ont constaté qu’il ne disposait pas de moyen officiel de signaler les bugs ou les vulnérabilités de sécurité. Ils ont donc envoyé plusieurs messages via la page de contact du site Web, mais l’entreprise n’a jamais répondu. Ils ont essayé de téléphoner au SCC, mais cela n’a mené nulle part non plus. N’ayant aucun autre moyen de signaler directement la faille, les étudiants ont contacté le centre de coordination CERT de l’université Carnegie Mellon pour obtenir de l’aide pour divulguer la vulnérabilité au fournisseur.
Près de cinq mois se sont écoulés depuis que nous avons tenté d’informer le SCC, mais le bug n’a toujours pas été corrigé, ce qui a incité les étudiants chercheurs à divulguer publiquement la faille. Sans surprise, Sherbrooke et Taranenko ont d’abord partagé le bug lors d’une réunion du club de cybersécurité de l’UCSC au début du mois de mai avant de s’adresser aux médias le week-end dernier. Vraisemblablement, les membres du club de cybersécurité « surveillent » la situation chaque week-end avec des paniers à linge à la main afin de pouvoir signaler quand l’entreprise a corrigé la faille.
Les étudiants affirment que les exploits fonctionnent parce que l’application CSC Go gère toutes les validations de sécurité transactionnelles sur l’appareil. En exploitant l’API de l’application, les étudiants contournent le processus de validation de l’application et envoient des commandes directement aux serveurs. Les serveurs CSC font automatiquement confiance aux commandes entrantes puisqu’ils pensent qu’elles proviennent de l’application. Il s’agit d’une étude de cas expliquant pourquoi vous enseignez aux étudiants en informatique de première année à toujours configurer le traitement des transactions back-end.
TechCrunch a tenté de contacter CSC pour obtenir des commentaires, mais personne n’a renvoyé son e-mail.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
