Deux étudiants universitaires disent avoir trouvé et signalé plus tôt cette année une faille de Sécurité permettant à quiconque d’éviter de payer pour le linge fourni par plus d’un million de machines à laver connectées à Internet dans les résidences et les campus universitaires du monde entier.

Des mois plus tard, la vulnérabilité reste ouverte après que CSC ServiceWorks ait ignoré à plusieurs reprises les demandes de correction de la faille.

Alexander Sherbrooke et Iakov Taranenko, étudiants de l’UC Santa Cruz, ont déclaré à fr.techtribune.net que la vulnérabilité qu’ils ont découverte permet à quiconque d’envoyer à distance des commandes aux machines à laver gérées par CSC et d’utiliser gratuitement des cycles de lavage.

Sherbrooke a déclaré qu’il était assis sur le sol de sa buanderie au sous-sol aux premières heures un matin de janvier avec son ordinateur portable à la main et qu’il avait « soudainement eu un moment ‘oh s-‘ ». À partir de son ordinateur portable, Sherbrooke a exécuté un script de code avec des instructions indiquant à la machine devant lui de démarrer un cycle malgré le fait qu’il avait 0 $ dans son compte de blanchisserie. La machine s’est immédiatement réveillée avec un bip fort et a fait clignoter « PUSH START » sur son écran, indiquant que la machine était prête à laver une charge gratuite de linge.

Dans un autre cas, les étudiants ont ajouté un solde ostensible de plusieurs millions de dollars dans l’un de leurs comptes de blanchisserie, ce qui s’est reflété dans leur Application mobile CSC Go comme si c’était une somme d’argent tout à fait normale pour un étudiant de dépenser pour la lessive.

Publicité

CSC ServiceWorks est une grande entreprise de services de blanchisserie, Vantant un réseau de plus d’un million de machines à laver installées dans des hôtels, des campus universitaires et des résidences aux États-Unis, au Canada et en Europe.

Comme CSC ServiceWorks n’a pas de page de sécurité dédiée au signalement des failles de sécurité, Sherbrooke et Taranenko ont envoyé plusieurs messages à l’entreprise via son formulaire de contact en ligne en janvier, mais n’ont pas eu de réponse de l’entreprise. Un appel téléphonique à l’entreprise ne les a menés nulle part non plus, ont-ils déclaré.

Les étudiants ont également envoyé leurs conclusions au centre de coordination CERT de l’Université Carnegie Mellon, qui aide les chercheurs en sécurité à divulguer les failles aux fournisseurs concernés et à fournir des correctifs et des conseils au public.

Les étudiants en disent plus sur leurs découvertes après avoir attendu plus longtemps que les trois mois habituels que les chercheurs en sécurité accordent généralement aux fournisseurs pour corriger les failles avant de les rendre publiques. Le duo a d’abord divulgué ses recherches lors d’une présentation à leur Club de cybersécurité universitaire plus tôt en mai.

On ne sait pas qui, le cas échéant, est responsable de la cybersécurité au CSC, et les représentants du CSC n’ont pas répondu aux demandes de commentaires de fr.techtribune.net.

Les étudiants chercheurs ont déclaré que la vulnérabilité se trouve dans l’API utilisée par l’application mobile du CSC, Allez au CSC. Une API permet aux applications et aux appareils de communiquer entre eux sur Internet. Dans ce cas, le client ouvre l’application CSC Go pour recharger son compte avec des fonds, payer et commencer une charge de lessive sur une machine à proximité.

Sherbrooke et Taranenko ont découvert que les serveurs de CSC peuvent être amenés à accepter des commandes qui modifient le solde de leurs comptes, car toutes les vérifications de sécurité sont effectuées par l’application sur l’appareil de l’utilisateur et sont automatiquement approuvées par les serveurs de CSC. Cela leur permet de payer la lessive sans mettre de fonds réels sur leurs comptes.

En analysant le trafic réseau tout en étant connectés et en utilisant l’application CSC Go, Sherbrooke et Taranenko ont découvert qu’ils pouvaient contourner les contrôles de sécurité de l’application et envoyer des commandes directement aux serveurs de CSC, qui ne sont pas disponibles via l’application elle-même.

Les fournisseurs de technologie comme CSC sont responsables en dernier ressort de s’assurer que leurs serveurs effectuent les contrôles de sécurité appropriés ; sinon, c’est comme avoir un coffre-fort de banque protégé par un garde qui ne prend pas la peine de vérifier qui est autorisé à entrer.

Les chercheurs ont déclaré que n’importe qui peut potentiellement créer un compte utilisateur CSC Go et envoyer des commandes à l’aide de l’API, car les serveurs ne vérifient pas non plus si les nouveaux utilisateurs possèdent leur adresse e-mail. Les chercheurs ont testé cela en créant un nouveau compte CSC avec une adresse e-mail inventée.

Avec un accès direct à l’API et le référencement des CSC liste de commandes publiée pour communiquer avec ses serveurs, les chercheurs ont déclaré qu’il était possible de localiser et d’interagir à distance avec « chaque machine à laver sur le réseau connecté CSC ServiceWorks ».

D’un point de vue pratique, la blanchisserie gratuite a un avantage évident. Mais les chercheurs ont souligné les dangers potentiels d’avoir des appareils lourds connectés à Internet et vulnérables aux attaques. Sherbrooke et Taranenko ont dit qu’ils étaient unsavoir si l’envoi de commandes via l’API peut contourner les restrictions de sécurité fournies par les machines à laver modernes pour éviter la surchauffe et les incendies. Les chercheurs ont déclaré que quelqu’un devrait appuyer physiquement sur le bouton de démarrage de la machine à laver pour démarrer un cycle ; Jusque-là, les paramètres à l’avant de la machine à laver ne peuvent pas être modifiés à moins que quelqu’un ne réinitialise la machine.

CSC a discrètement effacé le solde du compte des chercheurs de plusieurs millions de dollars après avoir publié leurs découvertes, mais les chercheurs ont déclaré que le bogue n’était toujours pas corrigé et qu’il était toujours possible pour les utilisateurs de se donner « librement » n’importe quelle somme d’argent.

Taranenko a déclaré qu’il était déçu que le SCC n’ait pas reconnu leur vulnérabilité.

« Je ne comprends tout simplement pas comment une entreprise aussi grande fait ce genre d’erreurs, puis n’a aucun moyen de les contacter », a-t-il déclaré. « Dans le pire des cas, les gens peuvent facilement charger leur portefeuille et l’entreprise perd une tonne d’argent. Pourquoi ne pas dépenser un strict minimum pour avoir une seule boîte de réception de sécurité surveillée pour ce type de situation ?

Mais les chercheurs ne sont pas découragés par l’absence de réponse du CSC.

« Puisque nous faisons cela de bonne foi, cela ne me dérange pas de passer quelques heures à attendre pour appeler leur service d’assistance si cela peut aider une entreprise à résoudre ses problèmes de sécurité », a déclaré Taranenko, ajoutant que c’était « amusant de pouvoir faire ce type de recherche en sécurité dans le monde réel et pas seulement dans des compétitions simulées ».

5/5 - (209 votes)
Publicité
Article précédentFortnite travaille déjà sur une collaboration avec Fallout
Article suivantAperçu de l'épisode 6 de l'arc des écoles publiques
Berthe Lefurgey
Berthe Lefurgey

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici