Une faille de sécurité exploitée par des étudiants
Deux étudiants chercheurs à l’Université de Californie à Santa Cruz, Alexander Sherbrooke et Iakov Taranenko, ont identifié une faille de sécurité alarmante affectant un million de machines à laver en libre-service de CSC ServiceWorks.
Cette société, qui opère dans des laveries, des hôtels, des campus universitaires et des résidences à travers les États-Unis, l’Europe et le Canada, utilise une application mobile, CSC Go, pour gérer les machines.
La découverte s’est faite en janvier lorsque Sherbrooke, à court de crédit, a exécuté un script de code sur une machine à laver en libre-service dans une buanderie.
À sa grande surprise, le script a fonctionné et il a pu lancer le cycle de lavage sans frais.
En explorant davantage, les deux étudiants ont même réussi à créditer des montants illimités sur leurs comptes CSC Go, permettant de simuler des millions de dollars en crédit.
Pour utiliser les machines CSC ServiceWorks, les clients doivent installer l’application CSC Go sur leur smartphone, charger un solde puis lancer un cycle de lavage.
Cependant, cette procédure a un point faible : l’API (interface de programmation d’application) de l’application.
Cette API permet une interaction en ligne entre les machines et l’application.
Les étudiants ont découvert qu’en manipulant cette interface, ils pouvaient envoyer des commandes directement aux serveurs, contournant ainsi les systèmes de sécurité mis en place.
Manque de réactivité de CSC ServiceWorks
Malgré la gravité de cette faille, CSC ServiceWorks n’a toujours pas corrigé le problème.
Alexander et Iakov ont tenté à plusieurs reprises de contacter l’entreprise via le formulaire dédié sur le site de la société et par téléphone, mais sans succès.
Notons également que CSC ServiceWorks, une entreprise avec 90 années d’existence, ne dispose pas de page consacrée aux failles de sécurité, ce qui complique le signalement de telles vulnérabilités.
La persistance de cette faille soulève des préoccupations majeures.
Les étudiants ont démontré qu’ils pouvaient interagir avec toutes les machines à laver connectées au réseau de CSC ServiceWorks.
Cela implique un potentiel d’exploitation très large, susceptible de toucher un million de machines si la faille n’est pas résolue.
Pour le grand public moins technique, expliquons ce qu’est une API.
Une API, ou Interface de Programmation Applicative, est un ensemble de règles qui permet à des logiciels différents de communiquer entre eux.
Dans le cas de CSC Go, l’API permet aux machines à laver et à l’application de consulter et d’envoyer des données — par exemple, vérifier le solde de l’utilisateur ou démarrer un cycle de lavage.
Si cette communication n’est pas sécurisée correctement, des acteurs malveillants peuvent intercepter et manipuler ces messages.
En conclusion, la faille découverte par ces étudiants démontre l’importance cruciale de la sécurisation des API.
Ce type de vulnérabilité peut non seulement conduire à de sérieux dysfonctionnements, comme l’utilisation gratuite des services, mais aussi à des risques potentiellement plus graves, comme la compromission de données sensibles.
Tant que CSC ServiceWorks n’aura pas répondu aux sollicitations et corrigé cette faille, chaque utilisateur se trouve exposé à ce risque.
Ainsi, cet événement met en lumière la nécessité pour toutes les entreprises, indépendamment de leur ancienneté, de maintenir des protocoles rigoureux pour la communication et la gestion de la cybersécurité.
C’est un rappel à l’ordre pour qu’elles se dotent des moyens adéquats pour réagir promptement aux vulnérabilités découvertes par les chercheurs et les utilisateurs.
Source : TechCrunch
La faille de l’API : un portail pour les cyberattaques
La faille exploitée par les étudiants ouvre la porte à des scénarios bien plus alarmants que l’utilisation gratuite des machines à laver.
Un cybercriminel pourrait, par exemple, manipuler l’API pour accéder à des informations personnelles des utilisateurs, telles que leurs données de paiement ou identifiants, mettant ainsi en danger la vie privée et les finances des clients de CSC ServiceWorks.
En outre, cette vulnérabilité pourrait être exploitée pour des attaques à plus grande échelle, y compris des tentatives de rançon ou de perturbation massive, voire l’infiltration du réseau IoT (Internet des Objets) de l’entreprise, avec un impact direct sur la continuité opérationnelle.
Renforcez vos barrières de sécurité API
Pour se prémunir contre ce type de risques, CSC ServiceWorks (et toutes les entreprises gérant des API critiques) devraient adopter des mesures de sécurité robustes telles que l’authentification renforcée, le chiffrement des données en transit, des audits de sécurité réguliers et l’implémentation de pare-feu pour les API.
La mise en place de mécanismes de détection des anomalies peut aussi permettre de repérer et de contrer une utilisation malveillante à un stade précoce, minimisant ainsi l’impact potentiel de toute tentative de cyberattaque.
