Vous vous en souvenez peut-être, la plateforme Garmin Connect avait été attaquée par des malandrins à l'été 2020, et la société avait visiblement payé les attaquants pour récupérer l'accès aux données, en considérant qu'ils étaient honnêtes et allaient bien déchiffrer les données. Comme nous l'avions annoncé à l'époque, l'ensemble restait assez flou et pourtant, plusieurs années plus tard, des détails sont apparus.

C'est le site Nakan.ch qui revient sur cette affaire. Commençons par un petit résumé : Garmin avait été attaqué et les données rendues inaccessibles par un logiciel nommé Wasted Locker, lié à un collectif russe, Evil Corp. Devant les nombreux blocages, qui touchaient le grand public mais aussi des services professionnels, Garmin avait payé la rançon de 1 500 bitcoins, un peu plus de 13 millions d'euros à l'époque des faits.

Mais un problème se posait : Evil Corp étant un collectif russe, la loi américaine empêche en théorie de payer une rançon. Dans les faits, il existe des solutions pour ce problème, notamment en passant par des intermédiaires qui se trouvent dans des pays où la loi est plus souple. Et dans le cas de Garmin, il y a une subtilité : le siège social est aux États-Unis, mais il s'agit d'une société de droits suisse¹. Dans tous les cas, Garmin a tenté de faire passer la douloureuse dans ses (nombreux) contrats d'assurance, avec plus ou moins de succès. Certaines sociétés d'assurance ont accepté sans rechigner, mais pas toutes : une de ces dernières, d'origine britannique (sans plus de détails), a refusé de payer, en arguant que même avec un intermédiaire, les risques de sanction du gouvernement des États-Unis existaient. Bien évidemment, tout ceci est passé devant les tribunaux, et le jugement est disponible, avec une analyse ici.

L'assureur doit payer

Pour faire court, l'assureur a perdu et a dû rembourser Garmin. Le juge a estimé que l'assureur n'avait pas démontré que le logiciel utilisé (Wasted Locker) était bien lié à Evil Corp, et que rien ne prouvait qu'Evil Corp avait directement profité de la rançon. Ensuite, le juge helvétique a aussi estimé qu'il était peu probable que le gouvernement américain effectue des représailles sur une société britannique car une compagnie suisse avait payé une rançon à des hackers russes.

Si la partie juridique est intéressante, tant l'ensemble est mondialisé, l'article de Nakan.ch revient aussi sur la façon dont Garmin a réagi à cette attaque. Visiblement, Garmin a serré la vis dans ses équipes, avec de nouveaux systèmes de protection, beaucoup de double authentification et de nombreux cloisonnements entre les équipes, pour éviter qu'une nouvelle attaque bloque la société. Une phrase est d'ailleurs amusante, même si probablement exagérée : « Un contact technique me dit même il y a environ un an que pour connaître le prix de la montre sur laquelle il travaille, il attend la sortie pour le lire sur le site web. ». De plus, Garmin a aussi amélioré la sécurité du côté des clients, notamment avec la double authentification au niveau de Garmin Connect.

Pour terminer, rappelons une maxime importante pour ceux qui travaillent dans la sécurité : « La question n'est pas de savoir si nous allons être attaqués, mais de savoir quand. ».