Deux étudiants ont découvert une faille de sécurité alarmante permettant d’accéder gratuitement aux millions de machines à laver connectées de CSC ServiceWorks. Malgré leurs signalements répétés, l’entreprise n’a pas réagi, laissant cette vulnérabilité majeure grande ouverte pendant des mois.
Deux étudiants de l’Université de Santa Cruz, Alexander Sherbrooke et Iakov Taranenko, ont découvert une grave vulnérabilité dans le système de CSC ServiceWorks, un important fournisseur de machines à laver connectées à Internet. Cette faille permettait d’accéder gratuitement aux cycles de lavage sur plus d’un million d’appareils déployés aux États-Unis, au Canada et en Europe.
Exploitation de la faille
En exploitant cette faille, les étudiants ont pu envoyer des commandes à distance pour lancer des cycles de lavage sans avoir à payer. Ils ont également réussi à créditer artificiellement leur compte utilisateur de plusieurs millions de dollars, une somme astronomique pour des frais de blanchisserie étudiants.
Malgré les signalements répétés des étudiants, CSC ServiceWorks n’a pas réagi pour corriger cette vulnérabilité critique. L’entreprise a fait preuve d’une indifférence inquiétante, laissant ses systèmes vulnérables pendant plusieurs mois.
Réaction tardive
Ce n’est qu’après la médiatisation de l’affaire que CSC ServiceWorks a fini par réagir. L’entreprise a présenté des excuses pour son manque de réactivité initiale et a assuré investir dans le renforcement de la sécurité de ses systèmes.
Cet incident souligne les risques importants liés aux systèmes connectés mal sécurisés, en particulier lorsqu’ils impliquent des transactions financières. Il met en lumière la nécessité pour les entreprises de prendre au sérieux la cybersécurité dès la conception de leurs produits et de rester à l’écoute des chercheurs en sécurité afin de protéger leurs clients.
- Partager l'article :