Lancer des lessives gratuitement ? C’est ce qu’ont réussi à faire Iakov Taranenko et Alexander Sherbrooke, transformant cette corvée en une opportunité.
Quels sont les faits ?
Deux étudiants en cybersécurité de l’Université de Californie à Santa Cruz sont parvenus à pirater le système de sécurité de CSC ServiceWorks. Il s’agit d’un réseau mondial de plus d’un million de machines à laver. Les deux hackers ont ainsi pu lancer des cycles de lavage à volonté !
Comment cela a-t-il pu se produire ?
La situation n’était pas préméditée. C’est en utilisant une machine à laver sur leur campus que Iakov et Alexander ont constaté une faille dans une API (Interface de programmation d’application). Une API est un ensemble de règles et de protocoles permettant à des applications ou services de communiquer entre eux.
En utilisant leurs ordinateurs, les deux étudiants ont alors produit un script pour envoyer des instructions aux serveurs de CSC ServiceWorks. En quelques manipulations le tour était joué ! Iakov et Alexander ont trouvé la possibilité de localiser et commander toutes les machines du réseau. Mieux encore, ils sont parvenus à modifier leur solde virtuel, en ajoutant des fonds fictifs sur l’application mobile de CSC ServiceWorks. Grâce à ce bug, les deux hackers ont pu recharger leur compte et lancer leurs lessives sans débourser le moindre centime.
Quelles sont les conséquences ?
Souhaitant éviter de se faire passer un savon, Iakov et Alexander n’ont toutefois pas diffusé leur découverte. L’entreprise concernée peut ainsi s’estimer chanceuse. En effet, si des pirates mal intentionnés s’étaient intéressés à cette situation, cela aurait pu causer de sérieux préjudices.
Par ailleurs, les deux étudiants ont immédiatement contacté CSC ServiceWorks pour que celle-ci puisse corriger la faille et perfectionner son système de sécurité. Bien que ces derniers aient à diverses reprises alerté l’entreprise, le bug n’a toujours pas été corrigé et CSC ServiceWorks n’a jamais daigné répondre. L’entreprise s’est uniquement contentée d’effacer discrètement les millions de dollars que les deux jeunes hackers avaient ajoutés sur leur compte.
Iakov et Alexander ont été entendus par le média TechCrunch. Ils se demandent comment une entreprise d’une telle ampleur peut commettre ce genre d’erreur. De plus, ils s’indignent du fait que CSC ServiceWorks n’ait pas prévu de messagerie à laquelle pourraient être signalées les cyberattaques. Ces incidents seraient pourtant susceptibles de lui faire perdre une fortune.
Les deux hackers ont alors choisi de faire part de leurs conclusions au CERT Coordination Center de l’Université Carnegie Mellon. Il s’agit d’une organisation de renommée mondiale spécialisée dans la gestion et la réponse aux incidents de sécurité informatique. Le CERT Coordination Center travaille avec d’autres équipes à travers le monde pour partager des informations, coordonner les réponses aux incidents globaux et améliorer la sécurité informatique au niveau international.
Le moins que l’on puisse dire, c’est que cette expérience fera surement « mousser » la carrière de ces deux génies…
Léane KASTNER
Master 2 Cyberjustice – Promotion 2023/2024
#Cybersécurité #Piratage #IoT #Bug #Informatique #Droit
Sources :
- https://www.bfmtv.com/tech/cybersecurite/des-lessives-gratuites-deux-etudiants-parviennent-a-pirater-des-milliers-de-laveries_AV-202405200338.html
- https://www.ouest-france.fr/leditiondusoir/2024-05-22/deux-etudiants-piratent-un-reseau-de-laveries-et-lancent-des-lessives-gratuites-a-volonte-cdb932b5-8bbb-4020-acd7-b683f7454426
- https://www.20minutes.fr/high-tech/4092045-20240521-deux-etudiants-americains-decouvrent-bug-permet-utiliser-gratuitement-million-lave-linges
