L'ODJ Média



Des lessives gratuites : deux étudiants piratent des milliers de laveries


Rédigé par le Mardi 21 Mai 2024

Une faille dans les laveries connectées de CSC ServiceWorks permet de lancer des cycles de lavage gratuitement.



Une découverte inattendue

Deux étudiants ont découvert une faille de sécurité permettant d'activer gratuitement des cycles de lavage sur plus d'un million de machines à laver à travers le monde. Malgré plusieurs relances, le bug reste non corrigé.
 
Alexander Sherbrooke et Iakov Taranenko, deux étudiants américains, ont identifié une vulnérabilité dans le système des laveries connectées de CSC ServiceWorks.
 
Cette entreprise gère un réseau mondial de plus d'un million de machines à laver, présentes dans des résidences étudiantes, des hôtels et d'autres établissements aux États-Unis et en Europe.
 
Leur découverte repose sur une faille de l'application mobile CSC Go, utilisée pour recharger des comptes, payer et lancer des cycles de lavage.

Exploitation technique

À partir de leur ordinateur portable, ces futurs chercheurs en cybersécurité ont créé un script capable d'envoyer des commandes directement aux serveurs de CSC.
 
Ce script leur permet de manipuler leur solde, ajoutant des millions de dollars virtuels à leurs comptes, et de localiser ainsi que contrôler toutes les machines du réseau.
 
Malgré les nombreuses alertes envoyées par les étudiants depuis janvier, le bug persiste. L'entreprise a simplement supprimé les faux crédits ajoutés par les étudiants, sans résoudre le problème de fond.
 
 "Je ne comprends pas comment une entreprise aussi importante peut commettre de telles erreurs et ne propose aucun moyen de la contacter", a déclaré Iakov Taranenko à Techcrunch.
 
Les étudiants s'inquiètent du manque de vigilance de CSC, soulignant que des utilisateurs peuvent facilement gonfler leur portefeuille virtuel, entraînant des pertes financières significatives pour l'entreprise.
"Pourquoi l'entreprise ne met-elle pas en place un service de messagerie pour surveiller ce type de situation?", s'interroge Taranenko.

Intervention du centre de coordination CERT

Face à l'inaction de CSC ServiceWorks, les étudiants ont décidé de signaler leurs découvertes au centre de coordination CERT de l'université Carnegie Mellon.
 
Ce centre aide les chercheurs en sécurité à divulguer les failles aux fournisseurs concernés et à proposer des correctifs ainsi que des conseils au public.
 
La découverte de cette faille par Alexander Sherbrooke et Iakov Taranenko met en lumière des problèmes de sécurité préoccupants dans les systèmes connectés des laveries.
 
L'absence de réaction appropriée de CSC ServiceWorks souligne l'importance d'une gestion proactive des vulnérabilités pour éviter des pertes financières et protéger les utilisateurs.

L'odj avec BFMTV

lessives gratuites, faille de sécurité, piratage, laveries connectées, CSC ServiceWorks, application mobile, cybersécurité, Alexander Sherbrooke, Iakov Taranenko, script, serveurs, crédits virtuels






Mardi 21 Mai 2024

Dans la même rubrique :
< >

Jeudi 13 Juin 2024 - 07:36 Un Mouton sénégalais de luxe

Astuce & Insolite | Brèves Lifestyle | Brèves Astuce et insolite