Des lessives gratuites: deux étudiants parviennent à pirater des milliers de laveries

Lancer une lessive, sans débourser le moindre centime. Deux étudiants américains, Alexander Sherbrooke et Iakov Taranenko, ont découvert une faille de sécurité informatique dans le système des laveries connectées de CSC ServiceWorks. Un réseau de plus d'un million de machines à laver présentes dans des milliers de laveries, dans des résidences étudiantes ou des hôtels, aux États-Unis ou en Europe.

Selon les informations du média américain Techcrunch, les deux amis ont tout simplement trouvé une faille dans l'application mobile CSC Go, qui permet de recharger son compte, de payer et de lancer un cycle de lavage dans de nombreuses laveries.

Depuis un ordinateur portable, les futurs chercheurs en cybersécurité ont ainsi produit un script de code pour envoyer des commandes directement aux serveurs de CSC. Résultat: les deux compères peuvent manipuler leur solde pour ajouter des millions de dollars virtuels sur leur compte, ou encore localiser et commander toutes les machines à laver du réseau.

Absence de réponse

Malgré les nombreuses alertes de la part des étudiants depuis janvier, le bug n'a toujours pas été corrigé. L'entreprise a toutefois discrètement effacé les faux millions de dollars ajoutés par les deux étudiants sur leur compte.

"Je ne comprends tout simplement pas comment une entreprise aussi importante commet ce genre d'erreurs et ne propose aucun moyen de la contacter", a déclaré Iakov Taranenko, interrogé par Techcrunch.

"Les gens peuvent facilement remplir leur portefeuille et l’entreprise perd une fortune. Pourquoi l'entreprise ne consacre-t-elle pas une messagerie pour surveiller ce type de situation?", s'interroge l'étudiant.

Face à ce silence, les deux étudiants ont donc décidé d'envoyer leurs conclusions au centre de coordination CERT de l'université Carnegie Mellon, qui aide les chercheurs en sécurité à divulguer les failles aux fournisseurs concernés et à fournir des correctifs et des conseils au public.