Deux étudiants américains découvrent un bug qui permet d’utiliser gratuitement un million de lave-linges

Pirates ! Deux étudiants de l’université de Santa Cruz (Etats-Unis) ont réussi à pirater le système des laveries connectées de l’entreprise CSC ServiceWorks. Une faille de sécurité informatique leur a permis de lancer des cycles de lavage gratuitement sur plus d’un million de machines en Europe et en Amérique du Nord, rapporte TechCrunch.

Des millions de machines, et des millions de dollars

La faille a été détectée sur l’application mobile de l’entreprise. Ce bug a permis aux deux jeunes hommes de recharger leur compte sur l’application, de payer et de lancer un cycle de lavage sans dépenser un centime. Cela concerne de nombreuses machines à laver installées dans des résidences étudiantes ou des hôtels.

Avec l’aide d’un ordinateur, les deux étudiants ont mis au point un script de code qui est transféré aux serveurs de l’entreprise, permettant d’envoyer des instructions aux machines. Grâce à ça, ils ont pu ajouter des millions de dollars sur leur compte, ainsi que localiser des machines sur le réseau pour pouvoir les mettre en marche gratuitement.

Inaction de l’entreprise piratée

Après avoir découvert cette faille, les futurs chercheurs ont alerté l’entreprise. Cependant, ils n’ont obtenu aucune réponse et le bug n’a pas été corrigé. L’entreprise a juste supprimé les millions de dollars que les hommes avaient ajoutés à leur compte. « Je ne comprends tout simplement pas comment une entreprise aussi importante commet ce genre d’erreurs », explique l’un des étudiants.

« Les gens peuvent facilement remplir leur portefeuille et l’entreprise perd une fortune. Pourquoi l’entreprise ne consacre-t-elle pas une messagerie pour surveiller ce type de situation ? », ajoute-t-il. Malgré tout, les étudiants ont tenu à envoyer leurs conclusions au centre de coordination CERT de l’université Carnegie Mellon. Ce dernier aide les chercheurs à alerter les entreprises sur les failles de sécurité qu’elles rencontrent.