Retour sur l'attaque de Garmin en 2020

Pierre Dandumont | 14/02/2024 à 22:00

Vous vous en souvenez peut-être, la plateforme Garmin Connect avait été attaquée par des malandrins à l'été 2020, et la société avait visiblement payé les attaquants pour récupérer l'accès aux données, en considérant qu'ils étaient honnêtes et allaient bien déchiffrer les données. Comme nous l'avions annoncé à l'époque, l'ensemble restait assez flou et pourtant, plusieurs années plus tard, des détails sont apparus.

C'est le site Nakan.ch qui revient sur cette affaire. Commençons par un petit résumé : Garmin avait été attaqué et les données rendues inaccessibles par un logiciel nommé Wasted Locker, lié à un collectif russe, Evil Corp. Devant les nombreux blocages, qui touchaient le grand public mais aussi des services professionnels, Garmin avait payé la rançon de 1 500 bitcoins, un peu plus de 13 millions d'euros à l'époque des faits.

Ceci est une montre suisse, d'un certain point de vue.

Mais un problème se posait : Evil Corp étant un collectif russe, la loi américaine empêche en théorie de payer une rançon. Dans les faits, il existe des solutions pour ce problème, notamment en passant par des intermédiaires qui se trouvent dans des pays où la loi est plus souple. Et dans le cas de Garmin, il y a une subtilité : le siège social est aux États-Unis, mais il s'agit d'une société de droits suisse¹. Dans tous les cas, Garmin a tenté de faire passer la douloureuse dans ses (nombreux) contrats d'assurance, avec plus ou moins de succès. Certaines sociétés d'assurance ont accepté sans rechigner, mais pas toutes : une de ces dernières, d'origine britannique (sans plus de détails), a refusé de payer, en arguant que même avec un intermédiaire, les risques de sanction du gouvernement des États-Unis existaient. Bien évidemment, tout ceci est passé devant les tribunaux, et le jugement est disponible, avec une analyse ici.

L'assureur doit payer

Pour faire court, l'assureur a perdu et a dû rembourser Garmin. Le juge a estimé que l'assureur n'avait pas démontré que le logiciel utilisé (Wasted Locker) était bien lié à Evil Corp, et que rien ne prouvait qu'Evil Corp avait directement profité de la rançon. Ensuite, le juge helvétique a aussi estimé qu'il était peu probable que le gouvernement américain effectue des représailles sur une société britannique car une compagnie suisse avait payé une rançon à des hackers russes.

Si la partie juridique est intéressante, tant l'ensemble est mondialisé, l'article de Nakan.ch revient aussi sur la façon dont Garmin a réagi à cette attaque. Visiblement, Garmin a serré la vis dans ses équipes, avec de nouveaux systèmes de protection, beaucoup de double authentification et de nombreux cloisonnements entre les équipes, pour éviter qu'une nouvelle attaque bloque la société. Une phrase est d'ailleurs amusante, même si probablement exagérée : « Un contact technique me dit même il y a environ un an que pour connaître le prix de la montre sur laquelle il travaille, il attend la sortie pour le lire sur le site web. ». De plus, Garmin a aussi amélioré la sécurité du côté des clients, notamment avec la double authentification au niveau de Garmin Connect.

Pour terminer, rappelons une maxime importante pour ceux qui travaillent dans la sécurité : « La question n'est pas de savoir si nous allons être attaqués, mais de savoir quand. ».

Oui, techniquement vous avez peut-être une montre suisse au poignet. ↩︎

Source

Image d'ouverture : Richard Patterson, CC BY 2.0 DEED

Sortie de veille : quels iPad en vedette du prochain keynote Apple ?

Les deux derniers jeux sortis sur Apple Arcade rappellent que le Vision Pro n’est pas un bon joueur

Vision Pro : Apple aurait divisé par deux ses prévisions de ventes

visionOS 1.2 passe en bêta 3, comme watchOS 10.5

Madalvée | 14/02/2024 à 22:02

Malandrins ? Basoge encore dans la place ?

klouk1 | 15/02/2024 à 03:29

@Madalvée

Malandrins, toujours niveau cp ?

Urubu | 14/02/2024 à 23:30

@pierre dandumont

Merci pour vos articles même si, sans vouloir remettre en question le fond de votre travail, ils sont souvent pénibles à lire. Un peu de relecture ne ferait pas de mal, Macg nous ayant habitué à mieux au niveau de la rédaction. Merci d’avance et sans rancune aucune 🙏☺️

ckermo80Dqy | 15/02/2024 à 08:58

@Urubu

+1 exactement ce que j'étais en train de me dire.

arhaifa | 15/02/2024 à 04:47

Article particulièrement bien rédigé et clair au vu de la complexité du sujet. Merci

abalem | 15/02/2024 à 06:41

Mettez-vous d’accord parbleu ! 🤭

appleadict | 15/02/2024 à 06:44

@pierre dandumont

Merci pour l'article : j'adore savoir qu'avec une montre suisse au poignet , je n'ai pas raté ma vie 😅😅😅

Je profite de l'occasion pour vous remercier pour vos autres articles, très fouillés, même si souvent ardus, compte tenu des sujets abordés, plutôt techniques.

nova313 | 15/02/2024 à 07:27

Après la lecture de cet article, je vais reprendre un café, et me réveiller une seconde fois 😄.

Ça pourrait le début d’une blague: « Alors c’est un Américain, un Suisse, un Britannique et un Russe qui sont dans un avion » 😄.

Mais dans le fond, si j’ai bien compris, Garmin a demandé à ses assureurs de rembourser les préjudices subis car leur infra est pas assez sécurisée. Si c’est ça, je trouve ça un peu facile.

DahuLArthropode | 15/02/2024 à 13:28

@nova313

"Si c’est ça, je trouve ça un peu facile."

Je fais confiance aux assureurs: s’ils paient, c’est qu’ils doivent payer.

fte | 15/02/2024 à 19:30

@DahuLArthropode

"Je fais confiance aux assureurs: s’ils paient, c’est qu’ils doivent payer."

Tellement vrai.

Silverscreen | 15/02/2024 à 08:06

« Un contact technique me dit même il y a environ un an que pour connaître le prix de la montre sur laquelle il travaille, il attend la sortie pour le lire sur le site web. »
Ça va faire sourire ceux qui bossent chez Apple où, même à très haut niveau, aucune info ne fuite en interne avant la sortie de nouveaux produits… obligeant les équipes commerciales à de sacré pirouettes (« oui je vous ai vendu un Mac M1 hier alors que les M2 sortaient aujourd’hui… »)

socotran77 | 15/02/2024 à 09:32

Personnellement je ne comprends pas cette phrase : »et la société avait visiblement payé les attaquants pour récupérer l'accès aux données, en considérant qu'ils étaient honnêtes et allaient bien déchiffrer les données. «

Paul Position | 15/02/2024 à 11:37

Garmin a jugé que les hackers tiendraient leur promesse (donc en étant honnêtes ) de déchiffrer les données après paiement.
Il en va de la crédibilité des attaques de ce genre, si rien n'est fait après paiement de la "rançon" les sociétés victimes seront plus enclines à ne pas céder au chantage.

Pierre Dandumont | 15/02/2024 à 11:40

Disons que quand des hackers russes bloquent tes données et te demandent une rançon, un doute reste présent : vont-ils déchiffrer les données si je paye ? Parce que forcément, ils ne sont pas "honnêtes" au départ.

DahuLArthropode | 15/02/2024 à 13:31

@Pierre Dandumont

Les guillemets auraient peut-être mieux véhiculé le sous-entendu que l’italique pour honnête.

socotran77 | 15/02/2024 à 14:20

@Pierre Dandumont

Ok merci
C’est la compréhension de « déchiffrer « qui n’était pas bonne je pensais que c’était les hackers qui allaient les déchiffrer….. mais j’ai compris merci

fte | 15/02/2024 à 19:29

En sécurité, à la question

« La question n'est pas de savoir si nous allons être attaqués, mais de savoir quand. »

s’ajoute toujours, outre de savoir quand, de savoir quand dans le passé ou dans le futur.

Yves SG | 16/02/2024 à 00:26

Et dire que certains suisses voudraient donner des leçon de comportement aux français…

raoolito | 17/02/2024 à 07:41

"le juge helvétique a aussi estimé qu'il était peu probable que le gouvernement américain effectue des représailles sur une société britannique car une compagnie suisse avait payé une rançon à des hackers russes."
voilà, ca me semblait aussi evident. L'assureur Britannique tentait d'éviter de payer tout simplement. (c'est un reflexe conditionné chez les assureurs)