Des étudiants révèlent une faille de sécurité critique dans les machines à laver connectées.
Un contrôle mis à l’essorage
Des étudiants de l'université de Californie à Santa Cruz, Alexander Sherbrooke et Iakov Taranenko, ont découvert une faille de sécurité embarrassante pour le géant du linge CSC ServiceWorks. Cette faille concernait les machines à laver connectées de l'entreprise, présentes dans des millions de résidences, hôtels et campus universitaires à travers les États-Unis, le Canada et l'Europe. Grâce à cette faille, les étudiants ont pu contourner le système de paiement des machines à laver et lancer des cycles de lavage gratuits. Plus inquiétant encore, ils ont pu modifier leur solde de compte sur l'application mobile CSC Go en y ajoutant fictivement des millions de dollars.
Alertés par leurs découvertes, les étudiants ont tenté à plusieurs reprises de signaler la faille à CSC ServiceWorks. Ils ont envoyé des messages via le formulaire de contact en ligne et ont même tenté de joindre l'entreprise par téléphone, sans succès. Face à ce silence radio, et après un délai d'attente supérieur aux trois mois habituellement accordés aux entreprises pour corriger les failles de sécurité, les étudiants ont décidé de rendre leur découverte publique.
Du linge sale lavé en public
La publication de l'article par TechCrunch (mis à jour depuis) a eu l'effet d'un coup de tonnerre pour CSC ServiceWorks. L'entreprise s'est finalement excusée auprès des étudiants pour sa réponse tardive et a promis de corriger la faille. Elle a également annoncé la mise à jour de son site web pour inclure un formulaire de signalement des failles de sécurité.
En outre, cette mésaventure du linge sale lavé en public soulève des questions importantes sur la sécurité des appareils connectés. Les spécialistes ont souligné le risque potentiel que de tels appareils puissent être piratés à distance et utilisés à des fins malveillantes. Ils ont également pointé du doigt l'absence de contrôle de sécurité adéquat sur les serveurs de CSC ServiceWorks, comparant la situation à un coffre-fort de banque sans garde. Si les étudiants ont pu laver leur linge gratuitement pendant un certain temps, l'enjeu dépasse largement le simple blanchiment de vêtements. Cette faille aurait pu permettre à des personnes malintentionnées de voler de l'argent à l'entreprise ou de perturber le fonctionnement des machines à laver à distance.
Enfin, et malgré la déception initiale face au manque de communication de CSC ServiceWorks, les étudiants se disent satisfaits d'avoir pu attirer l'attention sur cette faille de sécurité. Ils espèrent que leur action incitera les entreprises à prendre la cybersécurité plus au sérieux et à mettre en place des mécanismes de signalement des failles plus efficaces.