Attaqués, les services de Garmin remontent la pente

Florian Innocente |

Garmin a commencé à remettre en service quelques-uns de ses services, après quatre jours d'une interruption provoquée apparemment par une attaque informatique doublée d'une demande de rançon. Il redevient possible de synchroniser certaines données.

La nature de cette panne a fait l'objet de fuites car la société n'a encore offert aucune explication officielle. Sa FAQ reste minimale et ne parle que d'une panne — qui affecte tout de même jusqu'à son centre d'appels. Mais on peut au moins suivre le détail des services qui redeviennent opérationnels sur la page de statut système.

À défaut d'une explication en bonne et due forme, des fuites au sein des équipes de Garmin ont parlé d'une attaque de grande ampleur basée sur le ransomware « WastedLocker », attribué à Evil Corp, un groupe de pirates russes.

Apparu autour de mai 2020, ce malware est d'abord adapté à la cible qu'il doit frapper. Une fois diffusé au sein de l'intranet d'une entreprise, il va méticuleusement chiffrer tous les fichiers qu'il croise — rendant impossible leur ouverture —, les renommer avec un «.garminwasted » et créer à leur côté un autre fichier dans lequel les conditions pour récupérer les pleine possession de ces documents est indiquée. Dans le cas de Garmin, la somme de 10 millions de dollars a été avancée par l'une des sources de Bleeping Computer.

Bleeping Computer a récupéré une copie de ce virus utilisé contre Garmin et l'a fait fonctionner sur un lot de fichiers

Au delà des services destinés aux sportifs, le malware a également mis à l'arrêt tous ceux que Garmin développe et vend auprès des pilotes et compagnies pour la navigation aérienne.

Lorsque l'intrusion a été détectée jeudi dernier, le service informatique de Garmin a tenté d'éteindre tous les postes informatiques à distance — même ceux connectés au travers de VPN — pour contrer le déploiement du malware et le chiffrage en cours des fichiers. Les employés ont ensuite reçu pour instruction de forcer l'extinction de tous les postes auxquels ils pouvaient avoir accès autour d'eux et qui n'avaient pu être arrêtés à distance.

La même extinction brutale a été apparement employée sur des serveurs, provoquant la coupure nette des services de synchronisation de Garmin Connect, au grand dam des utilisateurs. Cette mise en panne forcée se serait étendue jusqu'aux lignes de production des appareils et produits Garmin.

Tags
avatar iftwst | 

Dingue que des boîtes de cette taille soit aussi exposée à ce type d’attaque.
Sont ils nuls en sécurité info ?
Ou ce genre d’attaque est elle si difficile à gérer même pour une boîte bien protégée ?

avatar iVador | 

@iftwst

Il suffit d’un employé qui clique sur un mauvais lien et le phishing marche
Il suffit d’une seule connerie d’une seule personne ...

avatar iftwst | 

@iVador

Je comprends mais les « grosses boites » ne peuvent elles pas anticiper ce genre d’erreur humaine plutôt que de tout débrancher à la sauvage ?

avatar iVador | 

@iftwst

C’est compliqué d’anticiper une bêtise individuelle
On est formés régulièrement à la sécurité informatique et il faut maintenir un niveau de vigilance élevé en permanence

Les antispams et détecteurs de mails frauduleux inclus dans les outils de surveillance des réseaux internes ne sont pas parfaits, certains mails finissent tout de même dans les BaL des employés

avatar bigwiz | 

@iftwst

Je bosse chez un constructeur automobile français.
Il y’a quelques mois la division service informatique avait lancé un piège que même un lapin de 6 semaines ne se ferait pas avoir et pourtant !
On avait tous reçu un mail avec une pièce jointe ou soit disant que c’était un slide de présentation des futurs modèles du constructeurs.
Et bien sûr beaucoup ont cliqué dessus en pensant voir des projets comme des idiots 🤦‍♂️
Bref cela t’envoyai sur une page de la DSI avec un beau message rappelant que d’ouvrir des lien inconnus peuvent entraîner une attaque informatique.

avatar victoireviclaux | 

@bigwiz

"Comme des idiots" ce n'est pas très sympa, mais je pense que c'est un peu comme tout le monde par réflexe, surtout si c'est un email expédié en interne. Après il ne faut pas non plus cracher sur tout le monde et faire de la pédagogie (et régulièrement)

avatar bigwiz | 

@victoireviclaux

Si comme des idiots !
Comme si un constructeur vas donner des projets futurs à n’importe qui pour qu’ils soient diffusés au monde entier 🤔

avatar House M.D. | 

@bigwiz L'idée est ingénieuse, se faire avoir de telle manière frappe beaucoup plus les esprits que de faire une nième réunion sécurité ou un nième mail invitant à la prudence...

avatar fousfous | 

@iVador

Normalement un employé n'a pas accès à toutes les données de l'entreprise, il a même accès à une toute petite partie qui concerne son travail et c'est tout.
Donc normalement si un employé fait une connerie c'est pas sensé bloquer la boîte.

avatar iVador | 

@fousfous

Tu n’as pas compris le principe de virus et de ransomware
Ce truc là se propage sans contrôle via l’intranet d’une boîte.

avatar fousfous | 

@iVador

Il utilise quand même la session du bonhomme qui s'est fait avoir.
Donc c'est sensé être limité à ce dont il a accès.
Sinon c'est que le problème n'est pas une simple erreur humaine mais une attaque en bonne et due forme.

avatar marsnet | 

@fousfous

On pourrait le croire mais c’est visiblement très très sophistiqué comme attaque

https://www.bleepingcomputer.com/news/security/evil-corp-blocked-from-de...

avatar Seb42 | 

@fousfous

C’est beaucoup plus subtile que ça.
Nous avons été victimes d’une attaque informatique dans notre boîte.
Nous n’avons pas tous le même niveau d’accès au réseau intranet de l’entreprise mais une fois que le virus est sur le réseau il va se propager comme une traînée de poudre de partout, que toi même tu y ai accès ou pas. Je ne suis pas expert informatique, mais le virus n’a pas uniquement les droits de la personne qui l’a fait rentrer.

avatar fousfous | 

@Seb42

Oui donc est loin d'être juste sur le type de ransoware qu'on croise ici et qui fait des dégâts parce que t'as donné le mot de passe administrateur.
La c'est un virus qui profite des failles du système.

avatar Bigdidou | 

@fousfous

“La c'est un virus qui profite des failles du système.”

Certainement, oui.

avatar Sometime | 

@fousfous

C’est souvent un point de départ, c’est un dire un moyen, rarement une fin. Toute une frange de la cyber sécurité se spécialise justement dans les mouvement latéraux et de pivots.

avatar macinoe | 

"Il utilise quand même la session du bonhomme qui s'est fait avoir.
Donc c'est sensé être limité à ce dont il a accès."

Qu'est-ce qui te dit que "le bonhomme qui s'est fait avoir" avait un faible niveau de droit ?
Et qu'est-ce qui te dit qu'il a commis une imprudence et n'a pas été infecté par un biais indirect, interne et silencieux ?

avatar hirtrey | 

@iVador

Si pas de VLAN c’est qu’il y a un problème. Des machines de production ne peuvent être atteint depuis les machines des employés.
Idem, des machines exposées sur le net sont sur des VLAN différents des autres et non accessible sauf à travers des règle réseaux.

Pour que toute la société soit bloqué complètement, il ne doit pas aussi avoir bcp de surveillance.

avatar Sometime | 

@hirtrey

C’est malheureusement rarement le cas en pratique. Et même si ca l’était, toutes vos mesures défensives risquent de ne pas arrêter un attaquant déterminé.

avatar raphta | 

@hirtrey

Vlan ou pas, il faut bien communiquer avec les serveurs, et donc possibilité de hacker...

avatar Bigdidou | 

@iftwst

“Dingue que des boîtes de cette taille soit aussi exposée à ce type d’attaque.
Sont ils nuls en sécurité info ?
Ou ce genre d’attaque est elle si difficile à gérer même pour une boîte bien protégée ?”

Et oui.
Ce type d’attaque met régulièrement en difficulté de très grosses entreprises.
Elle a mis à genou le système de soin britannique qui a mis beaucoup de temps à s’en remettre.

avatar bonnepoire | 

Voilà pourquoi je ne fais pas confiance à ce genre de boite. Mes données restent chez moi ou chez Apple. Point barre!

avatar iVador | 

Ma Fenix 6S Pro Solar toute neuve est parvenue à synchroniser mes derniers trails et randos cet après midi
Ça revient doucement

avatar fskynet67 | 

Quelqu’un a un retour à faire sur la Garmin Instinct ? Je la trouve pas mal rapport qualité/prix

avatar victoireviclaux | 

Pour une communication en situation de crise, c'est clairement pas terrible de la part de Garmin. Ça fait pas pro, il faut communiquer un minimum, car sinon il y aura toujours des fausses informations ou des rumeurs, ça vaut pour les grandes mais aussi petites entreprises.

avatar bidibout | 

@victoireviclaux

Il y a eu dès le départ un message dans Connect pour prévenir d'une maintenance c'était déjà ça, ça permettais de savoir que le problème ne venait pas de chez nous.

avatar victoireviclaux | 

@bidibout

Ce n'est pas ça une communication. C'est communiquer les étapes d'avancement de la résolution de la panne et pourquoi ils ont été en panne, tout cela de façon officielle.

avatar bidibout | 

@victoireviclaux

Rares sont ceux qui le font...

avatar victoireviclaux | 

@bidibout

Ça ne donne pas une bonne image de l'entreprise justement...

avatar totoguile | 

Curieux de lire le REX (retour d’expérience) interne à Garmin pour comprendre comment ils en sont arrivés là.

Les attaques deviennent de plus en plus élaborées et ciblées. Je crois que la MMA est un peu dans la même situation en ce moment.

avatar bidibout | 

@totoguile

Idem pour Doctolib et une boîte spécialisée dans le BTP au même moment que Garmin.

avatar DG33 | 

@bidibout

Et Doctolib a réussi à résoudre le pb en 30 minutes : fortiches ! 😅
(une prescription de paracetamol à suffi ?)

avatar bidibout | 

@DG33

Ouais enfin ils ne font pas la même taille et n'ont pas le même volume de données à checker 😅

avatar victoireviclaux | 

@bidibout

C'est clair 😉

avatar fredsoo | 

Synchronisation sur mon edge 520 plus fonctionne.

avatar Phiphi | 

Un jour un mec va pondre un truc tel qu’on va se manger une pandémie mondiale des réseaux d’électricité ou du contrôle aérien ou bien des systèmes de paiements bancaires et on va être dans un merdier dont les conséquences économiques risquent de nous plonger dans un chaos à côté duquel la situation actuelle aux USA passera pour de la chamaillerie de récré de maternelle.
On est dans un monde ou absolument tout est tellement interconnecté au niveau planétaire qu’on se prépare vraiment des frayeurs pas piquées des hannetons !

avatar appleadict | 

@Phiphi

il suffit de remettre à 0 les comptes de tout le monde (ou d'un acteur financier central, cf 2008) pour que tout se bloque : la finance est devenue le sang du monde ...

mais effectivement, l'étape d'après c'est l'électricité , où là physiquement tout le monde est atteint

avatar Brice21 | 

@appleadict

Comme dans Mister Robot.

avatar iftwst | 

@Phiphi

Oui et tout cela fait vraiment froid dans le dos.

avatar Achylle_ | 

@Phiphi
J’avais lu un papier il y a des années qui estimait à quelques jours (genre 3 ou 4) la durée avant laquelle une population privée d’électricité tomberait dans le chaos le plus total (pillage, anarchie, meurtre, ...)

Donc prions pour que les centrales soient suffisamment bien protégées... 😢

avatar Fredje_B | 

A voir...Pour avoir passé 4 jours sans eau ni électricité à Cuba après le passage de l'ouragan Irma fin 2017, je peux te garantir que c'est avant tout un monde de la débrouille...personne n'a cédé à la panique car tout le monde savait que ça allait revenir.

A Puerto Rico, 2 ans plutôt, une partie de l'île c'est retrouvée sans électricité pendant plusieurs semaines et là aussi ça c'est très bien passé. Il y a d'ailleurs des petites îles qui fonctionnent à l'heure actuelle toujours sur de gros générateur car le câble électrique les reliants est cassé en mer.

C'est surtout la créativité et la débrouillardise qui fonctionnent dans ces moments-là...je ne doute pas que dans nos contrées certains tenterons de piller des magasins mais ce sont plutôt des petits malandrins et ça seront des cas isolé à mon avis.

avatar DarKOrange | 

Voilà ce qui arrive quand on ne porte pas son masque... le virus se propage.

CONNEXION UTILISATEUR