Erreur de sécurité trouvée dans les machines à laver connectées commerciales

Il ne peut pas être dit assez : si un objet peut être connecté, il présente un risque de sécurité. Même les machines à laver connectées commerciales ont été trouvées avec un bug de sécurité majeur qui permettait à quiconque d’envoyer des commandes à distance aux machines.

Astuce : vous voulez garder votre PC protégé ? Essayez ces paramètres Windows pour une protection gratuite du PC.

Deux étudiants trouvent un bug de sécurité dans les machines à laver

Ce problème a d’abord été découvert par deux étudiants d’université de Californie, Alexander Sherbrooke et Iakov Taranenko. Le premier était assis dans la salle de lavage du sous-sol en janvier, sur son ordinateur portable, essayant de créer une application pour suivre l’état des machines à laver. Il a commencé à y penser, puis a exécuté quelques instructions de code sur l’une des machines à laver pour démarrer un cycle, même s’il n’avait pas de solde sur son compte de lavage. La machine a démarré et a affiché le message “Appuyez sur Démarrer.”

Lui et son ami ont essayé d’ajouter un solde fictif de 13 millions de dollars sur un compte de lavage. Cela a été détecté dans l’application mobile de la machine comme s’il l’avait vraiment déposé. Ces vulnérabilités pourraient mener à de nombreuses choses, mais elles pourraient certainement permettre aux étudiants, ou à quiconque d’ailleurs, de faire leur lessive gratuitement.

FYI : apprenez ce qu’est le bouton de sécurité Windows et comment l’utiliser.

Bug de sécurité des machines à laver signalé

Les étudiants Sherbrooke et Taranenko ont signalé leurs découvertes à CSC ServiceWorks, une entreprise de services de lavage qui gère les machines. L’entreprise gère un réseau de plus d’un million de ces machines que l’on trouve dans des hôtels, des universités et des résidences aux États-Unis, au Canada et en Europe.

Ils n’ont pas pu trouver de page de sécurité dédiée pour signaler de telles choses, alors ils ont envoyé plusieurs messages à un formulaire de contact en ligne mais n’ont jamais eu de réponse de l’entreprise. Cela a également été signalé au CERT Coordination Center de l’Université Carnegie Mellon. CERT aide à divulguer les failles de sécurité.

Il a été remarqué que des commandes pouvaient être envoyées aux serveurs des machines, car les vérifications de sécurité se trouvent sur l’appareil de l’utilisateur dans l’application. Les serveurs de CSC leur font confiance sans poser de questions. Une fois qu’ils ont examiné le trafic réseau, les deux étudiants ont découvert qu’ils pouvaient contourner les vérifications de sécurité et envoyer les commandes au service. Les adresses e-mail utilisées pour créer un compte avec l’application ne sont également pas vérifiées.

Après les trois mois habituels d’attente pour que CSC fasse quelque chose avant de rendre cela public, Sherbrooke et Taranenko révèlent plus. Ils croient que la vulnérabilité se trouve dans l’API de l’application mobile. CSC n’a rien fait pour corriger l’application, mais ils ont effacé le plus grand solde bancaire fictif. Cependant, de plus petits montants de 50 à 100 dollars restent sur le compte.

Il convient de noter que ce problème de sécurité concerne l’ensemble du réseau d’appareils – pas seulement ceux de ce campus universitaire particulier. C’est là que cela devient inquiétant. Si les machines à laver ont ce bug de sécurité, pensez à combien d’autres objets connectés, qui seraient autrement innocents, ont une vulnérabilité de sécurité. Lisez la suite pour apprendre comment protéger votre vie privée et votre sécurité sur Android.

Crédit image : Unsplash