Deux étudiants ont trouvé une vulnérabilité dans l’app d’une société opérant des laveries, leur permettant de lancer des cycles de lavage gratuitement. Ils ont contacté l’entreprise, qui ne leur a jamais répondu, mais a vidé leur solde.

S’il y a bien une corvée que beaucoup de gens détestent, c’est d’aller passer des heures dans une laverie, et de payer pour faire ses lessives. Deux étudiants de l’université de Californie ont trouvé une solution originale à ce problème : hacker des machines à laver.

C’est TechCrunch qui rapporte cette étonnante histoire dans un article publié le 17 mai : les deux étudiants ont détourné l’API de CSC ServiceWorks, une entreprise qui fournit des appareils à des laveries installées dans de nombreux campus universitaires américains. Les deux étudiants ont signalé la faille à l’entreprise, en début d’année, mais cette dernière ne l’avait toujours pas réparée des mois après. Il ne s’agit pourtant pas d’une petite faille : d’après les étudiants, elle permettrait de ne pas avoir à payer pour utiliser « plus d’un million de machines à laver connectées à l’internet. »

Une laverie // Source : Wikimedia Commons
Une laverie // Source : Wikimedia Commons

L’entreprise n’a pas réagi, mais a vidé leur solde

Les étudiants ont raconté à TechCrunch avoir découvert la vulnérabilité par hasard, alors qu’ils utilisaient une machine à laver. En passant par l’app et en envoyant une simple commande, ils ont découvert qu’ils pouvaient modifier leur solde — et donc, dire à n’importe quelle machine de lancer un cycle de lavage, sans avoir besoin de mettre de l’argent sur leur compte. Ils ont également réussi à rajouter artificiellement plusieurs millions de dollars sur leur solde, à partir de l’app.

Immédiatement après leur découverte, les deux étudiants ont contacté CSC ServiceWorks par mail, mais également par téléphone. L’entreprise ne leur a jamais officiellement répondu — mais, selon eux, l’entreprise aurait « discrètement effacé » leur solde, sur lequel ils avaient faussement ajouté des millions de dollars. C’est cette absence de réponse qui les aurait motivés à faire part de leur découverte à plusieurs personnes. CSC ServiceWorks n’a toujours pas officiellement répondu à l’histoire.

Si cette histoire peut sembler marrante, elle souligne le fait qu’un nombre incalculable d’objets sont désormais connectés à Internet sans avoir de protections suffisantes. Surtout, de nombreuses incertitudes demeurent par rapport à leur découverte. Les deux étudiants indiquent notamment qu’ils ne savent pas si la vulnérabilité qu’ils ont trouvée pourrait être exploitée pour « contourner les restrictions de sécurité dont sont équipées les machines à laver modernes pour éviter les surchauffes et les incendies. »

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !