Vous arrivez à votre laverie préférée, les bras chargés de linge sale, et là, magie magique, grâce à une petite astuce astucieuse, vous pouvez démarrer une lessive gratuite, sans dépenser un centime. C’est le rêve, non ? Eh bien, imaginez que c’est exactement ce que certains étudiants légèrement hackers ont réussi à faire.
Alexander Sherbrooke et Iakov Taranenko, 2 génies de l’Université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées Travaux de service du SCC. Je vous parle encore d’un réseau de plus d’un million de machines à laver installées partout dans le monde, des campus universitaires aux hôtels et résidences. Bref, un sacré paquet de machines qui tournent à plein régime.
Pour y parvenir, ils ont bricolé l’API utilisée par l’application mobile CSC Go. Pour ceux qui ne connaissent pas le jargon technique, un API c’est quelque chose qui permet aux applications et aux appareils de communiquer entre eux sur le réseau. Dans ce cas, l’application CSC Go permet aux utilisateurs de recharger leur compte, de payer et de démarrer un cycle de lavage sur une machine à proximité. Cependant, les serveurs CSC ne vérifiaient pas correctement qui était autorisé à faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux amis.
En analysant le trafic réseau tout en utilisant l’application CSC Go, Alexander et Iakov ont pu contourner les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. En résumé : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels au budget de blanchisserie et même localiser et interagir avec chaque machine du réseau CSC ServiceWorks.
Bien sûr, avoir une lessive gratuite, c’est cool. Mais surtout, Alexander et Iakov voulaient montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité de premier ordre. Le pire dans l’histoire, c’est qu’ils ont prévenu Travaux de service du SCC plusieurs fois depuis janvier, mais l’entreprise n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler des problèmes de sécurité ne coûte pas cher et peut éviter des dégâts importants… J’espère juste qu’ils ne préparent pas de poursuites judiciaires…
Bien évidemment, bricoler les machines à laver pour obtenir de la lessive gratuite n’est pas l’attaque du siècle, mais cela montre qu’il y a encore du travail à faire côté sécurité pour tous ces objets connectés. Ainsi, pour vous protéger de telles vulnérabilités, il est crucial de API sécurisées en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant jetons d’authentification sécurisés.
En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos sous-vêtements sales, ils savent les rendre plus blancs que blancs. ^^
Source
