Ces machines à laver peuvent s’utiliser sans rien payer à cause de cette faille

Mis en ligne le
par Ingrid Bernard

Ces machines à laver en libre-service de la société CSC ServiceWorks ont un défaut. Ce sont des étudiants qui l’ont repéré et cela permet d’utiliser ces appareils gratuitement.

Alexander Sherbrooke et Iakov Taranenko, deux étudiants chercheurs à l’UC Santa Cruz, ont repéré une faille de sécurité dans plusieurs lave-linges de la société CSC ServiceWorks.

Ces appareils sont présents dans des laveries, des hôtels, des résidences et autres campus universitaires à travers les États-Unis, l’Europe et le Canada.

Des utilisations gratuites à cause d’un défaut

Pour pouvoir utiliser ces machines à laver, les utilisateurs doivent avoir l’application CSC Go sur leur smartphone. Puis, il faut charger son solde et lancer le cycle de lavage sur l’appareil sélectionné.

Mais ces deux étudiants ont déniché une défaillance pour pouvoir les utiliser de manière gratuite. D’ailleurs, l’entreprise n’a pas toujours prise en compte cette faille.

Cette histoire débute en janvier. Alexander Sherbrooke se trouve à la buanderie dans le sous-sol avec son PC portable. Alors qu’il n’a pas de solde sur son compte, il va établir un script de code sur la machine à laver qui se trouve en face de lui.

Le système fonctionne : il effectue un cycle de lavage gratuitement sans rien payer. Ces étudiants chercheurs arrivent même à créditer des millions de dollars sur leurs comptes CSC Go.

Ils expliquent que CSC ServiceWorks n’a pas toujours rectifié le tir puisque leurs sollicitations n’ont pas eu de réponses jusqu’à maintenant.

Cependant, ces étudiants ont contacté la société en utilisant un formulaire dédié sur le site de la société. Ils ont même passé des appels téléphoniques.

Il faut mentionner quand même que l’entreprise a supprimé les millions de dollars de crédits du compte CSC Go des compères.

Une défaillance dans l’API de l’application mobile

Les étudiants confirment qu’il existe une défaillance dans l’API utilisée par CSC Go. C’est le dispositif qui permet aux lave-linges et à l’application de communiquer en ligne. Ils ont ainsi découvert comment commander le serveur en contournant les contrôles de sécurité.

D’après eux, chacun peut entrer en contact avec “toutes les machines à laver sur le réseau de CSC ServiceWorks”. Cela équivaut à un million d’appareils en considérant la faille de l’API et une liste publique de commande de serveur publiée par l’entreprise.

À propos de l’auteur,
Ingrid Bernard

Ancienne parisienne exilée à Marseille, je suis fascinée par l'univers des séries TV, surtout celle de Netflix. Rédactrices pour plusieurs magazines francophones, je suis de nature curieuse et adore partager mon point de vue sur tous les sujets médiatiques.