Aux Etats-Unis, CSC ServiceWorks se décrit comme le principal fournisseur de services de blanchisserie commerciale aux États-Unis, au Canada et en Europe. Ses machines à laver équipent des résidences, des hôtels et universités dans le monde entier… mais visiblement, la sécurité de ses appareils laisse à désirer. Car au mois de janvier, deux étudiants de l'université de Californie, Alexander Sherbrooke et Iakov Taranenko, sont parvenus à activer une machine en exécutant un script de code, sans dépenser un dollar ! Mieux, ils se sont même ajouté un solde virtuel de plusieurs millions de dollars sur l'un de leurs comptes de blanchisserie, accessible via l'application CSC Go. Selon les deux étudiants, la vulnérabilité des machines trouve dans l'API utilisée par l'application mobile, qui offre la possibilité de recharger son compte, payer et commencer une lessive sur une machine à proximité. Dans le détail, les serveurs de la société peuvent en effet être trompés et accepter des commandes qui modifient le solde du compte, car les contrôles de sécurité sont effectués par l'application via l'appareil de l'utilisateur, puis sont automatiquement approuvés par les serveurs. Techniquement, n'importe qui peut activer une machine de l'entreprise sans payer ou créer un faux compte chez CSC Go, car les serveurs ne vérifient pas non plus si les nouveaux utilisateurs sont propriétaires de leur adresse électronique. Les étudiants ont donc souhaité alerter l'entreprise par messages et appels téléphoniques. Si leurs requêtes sont jusqu'à aujourd'hui restées sans réponse, la firme a pris soin de retirer le solde de plusieurs millions de dollars de leur compte. La possibilité d'activer une machine gratuitement semble inoffensive, mais la vulnérabilité de tels appareils présente tout de même des dangers. Par exemple, l'envoi de commandes par l'intermédiaire de l'API est susceptible de contourner les restrictions de sécurité dont sont équipées les machines à laver pour éviter les surchauffes et les incendies. De façon plus générale, cette affaire souligne la nécessité d'apporter des contrôles de sécurité suffisants aux objets connectés. Il est déjà arrivé que des hackers parviennent à activer des caméras depuis l'étranger ou même à accéder à des prises intelligentes. Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.