Un bug de l'appli Domino's Pizza permettait d'avoir des pizzas gratuites à vie

Être un "bon" hacker responsable signifie généralement que vous ne profitez pas à titre personnel des failles que vous identifiez, même si celles-ci peuvent vous permettre d'obtenir des pizzas gratuites.

Paul Price, un consultant en sécurité britannique, a trouvé un bug dans la version anglaise de l'application Domino's Pizza qui lui a permis précisément de faire ça. Price a découvert que l'interface de programmation de l'appli avait quelques soucis avec les paiements, permettant ainsi aux utilisateurs possédant quelques connaissances techniques de la trafiquer et de forcer l'appli à accepter des paiements imaginaires, et donc de commander des pizzas sans jamais débourser un centime.

« Euuuuh quoi ? On dirait que ma commande a été passée sans que j'aie à payer, a écrit Price dans un article de blog relatant la fois où il a commandé de la pizza sans payer. C'est sans doute un simple bug, et Domino's va certainement s'en apercevoir avant que quiconque ait commencé à préparer ma pizza… Pas vrai ? »

Faux. Price n'était pas sûr que ça ait vraiment marché, alors il a appelé le restaurant le plus proche pour vérifier, et on lui a répondu que sa pizza était bien en cours de préparation.

« Le premier truc que je me suis dit, c'est : wow, c'est trop cool. Et juste après : merde », écrit-il.

La pizza lui a effectivement était livrée, raconte-t-il, mais à ce moment-là il a paniqué, expliqué que son paiement n'était pas passé, et payé en cash. Depuis, Domino's a réglé le problème.

« Nous sommes très attentifs à toutes les questions liées à la sécurité et nous avons découvert ce problème l'année dernière lors de l'un de nos contrôles fréquents. Nous sommes heureux d'annoncer qu'il a été résolu très rapidement », a affirmé à Motherboard Rod Brooks, en charge de l'informatique chez Domino's.

Mais la morale de cette histoire, c'est que beaucoup d'applications ont des API défectueuses.

C'est un bug d'API qui est à l'origine du hack massif du fabricant de jouets VTech, qui a exposé les données personnelles de millions de parents et de leurs enfants. Et il y a quelques semaines, les experts en sécurité Troy Hunt et Scott Helme ont montré que des hackers pouvaient tout à fait prendre le contrôle de voitures électriques de la marque Nissan partout dans le monde, notamment en déréglant la climatisation ou en vidant la batterie du véhicule. La marque avait alors dû mettre l'appli hors service pour régler le problème.