Agence web » Actualités du digital » La récente panne de Garmin a révélé des trous béants dans sa sécurité et ses communications

La récente panne de Garmin a révélé des trous béants dans sa sécurité et ses communications

ParTremplin Numérique Publié le
Échec du téléchargement de la boîte de dialogue sur un compteur de vélo Garmin Edge 530
Came

La semaine dernière, Gamin a subi une panne massive qui a non seulement empêché ses athlètes multisports de télécharger des activités sur ses serveurs, mais a également supprimé son centre d'appels, son système de messagerie électronique, son chat en ligne et même son service d'aviation flyGarmin. La rumeur veut que la panne soit due à une attaque de ransomware, mais il a fallu cinq jours à Garmin pour reconnaître qu'il s'agissait bien d'une cyberattaque.

Lorsque la panne a commencé le matin du 23 juillet, les utilisateurs de Garmin Connect ont été accueillis par un message "Désolé, nous sommes en maintenance. Revenez sous peu. » message lorsque vous essayez d'accéder au service en ligne ou via les applications mobiles Connect. Le compte officiel Garmin a également tweeté un message vague et fondamentalement inutile:

Après cela, un autre tweet générique "nous sommes désolés", accompagné d'une très brève FAQ le 25 juillet:

Dans l'ensemble, ce n'est pas beaucoup de choses à faire et c'est un mauvais endroit si vous êtes un utilisateur de Garmin, en particulier parce que l'entreprise a été tout aussi vague pendant les quatre jours suivants.

Alors, qu'est-ce-qu'il s'est passé?

Ah, c’est la question à un million de dollars, non? La vérité est que nous ne sommes toujours pas sûrs. Il y a beaucoup de spéculations et de rumeurs qui circulent, la source la plus crédible (mais non confirmée) venant de ZDnet. Selon l'écrivain Catalin Cimpanu, Garmin a été touché par une attaque de ransomware appelée WastedLocker.

D'autres sources affirment qu'une fois l'attaque découverte, Garmin a dit à tous les employés – qui semblent travailler à distance en raison de la pandémie COVID-19 – d'arrêter tous les systèmes, y compris les serveurs de l'entreprise (c'est pourquoi le centre d'appels, le courrier électronique et les services de chat étaient également en panne). C'était dans le but d'empêcher les pirates de détourner les serveurs et de crypter plus de données, empêchant ainsi Garmin de son propre système.

Des rapports ont continué à faire surface au cours de la panne de cinq jours, beaucoup affirmant que l'attaque provenait d'un groupe de hackers russe Evil Corp avec une demande de 10 millions de dollars américains. Mais cela n’est pas non plus confirmé.

Enfin, le 27 juillet, Garmin a officiellement reconnu la cause de la panne, déclarant qu'il était «victime d'une cyberattaque qui a chiffré certains de nos systèmes le 23 juillet 2020». Les détails sont encore bien plus rares que ce que je pense que les clients méritent, mais cela semble au moins un peu confirmer les rumeurs de «ransomware».

Garmin attend des utilisateurs qu'ils lui fassent confiance avec un grand nombre de données: santé, emplacement, contacts, suivi, et bien plus encore. Le manque de transparence de la société devrait rendre chaque utilisateur de Garmin mal à l'aise de poursuivre sa relation.

Ce que Garmin a bien fait

Un compteur de vélo Garmin Edge 520 sur un support extérieur K-Edge
Came

Bien que je ne sois certes pas satisfait de la façon dont Garmin a géré la situation, il convient de mentionner que certaines choses ont au moins été gérées en quelque sorte droite.

Pour commencer, dès qu'on s'est rendu compte que quelque chose n'allait pas, Garmin a arrêté ses systèmes. Selon la rumeur, nous parlons de toute personne ayant accès à distance au système ainsi qu'à tous les serveurs. C’est pourquoi la synchronisation ne fonctionnait pas. Il n’y avait rien sur lequel se synchroniser.

Cette première étape était cruciale pour la protection des données des utilisateurs, car Garmin supprimait physiquement l'accès à tout serveur qui n'avait pas encore été affecté ou détourné par l'attaque.

Au-delà de cela, cependant, il n'y a pas beaucoup d'éloges à rendre à Garmin pour la façon dont il a géré la situation.

Où Garmin a laissé tomber le ballon

S'il y a une chose qu'une entreprise qui détient vos données privées et / ou personnelles doit comprendre, c'est la transparence. Si quelque chose ne va pas, informez-en les utilisateurs. Nous avons le droit de savoir ce qui se passe avec nos données – ou même ce qui pourrait potentiellement arriver à nos données – dans une situation comme celle-ci.

Bien sûr, Garmin a inclus une vague déclaration dans sa FAQ sur les pannes:

Mes données ont-elles été affectées en raison de la panne?
Garmin n'a aucune indication que cette panne a affecté vos données, y compris l'activité, le paiement ou d'autres informations personnelles.

Je suppose que c’est quelque chose, mais ce n’est pas suffisant. Examinons quelques exemples où les entreprises sont allées au-delà des attentes pour informer leurs utilisateurs de ce qui se passait tandis que cela se passait.

En décembre dernier, Wyze a subi une violation de données sur un serveur de test. C’était la faute de l’entreprise et cela a été clairement reconnu. Wyze est allé au-delà pour indiquer clairement et explicitement ce qui s'est passé, comment cela s'est passé et quelles données ont été exposées. La situation dans son ensemble était mauvaise, mais la façon dont Wyze la géra était exemplaire.

Un autre exemple est le récent piratage de Twitter. Bien que tout cela ne puisse être décrit que comme un désastre, Twitter a fait un bon travail en communiquant ce qui se passait, puis en fournissant plus de détails au fur et à mesure qu'ils étaient disponibles.

Garmin Connect sur un iPhone affichant un message "en maintenance"
Came

Et c’est là que Garmin a tout foutu en l'air – c’est journées depuis que le service a été initialement supprimé. Après environ cinq jours, le service n'a commencé que récemment à reprendre vie lentement. Et la déclaration de Garmin est une danse de mots gracieuse sans véritable explication en dehors de «il y a eu une cyberattaque».

Bon sang, Garmin n'a même pas pris la peine d'envoyer un e-mail aux clients à propos de la panne – mis à part une communication vague sur Twitter, l'entreprise n'a absolument rien fait pour s'assurer que les clients savaient ce qui se passait. Ça craint parce que si vous ne saviez pas où chercher, vous étiez dans le froid. Ou pire: lire des spéculations et des rumeurs potentiellement incorrectes provenant de sources non fondées sur des sites Web aléatoires.

Que va faire Garmin à propos de cette évolution?

Il n’ya pas de mot sur ce qui s’est réellement passé. S'il s'agissait en fait d'une attaque de ransomware, Garmin a-t-il payé la rançon pour récupérer des données détournées? Sinon, comment la situation a-t-elle été gérée? Quelles mesures seront prises pour éviter ce type de situation à l'avenir?

Ce dernier élément est un détail crucial. Chaque fois qu’une entreprise fait l’objet d’une violation de données, elle doit informer ses clients de ce qu’elle va faire pour empêcher ce type d’attaque à l’avenir. Mais Garmin n’a pas dit un mot sur ce qu’il allait faire. Nous n'avons aucun moyen de savoir si l'entreprise va changer quoi que ce soit. Plus de formation des employés? Une consultation de sécurité d'une entreprise réputée? Rien du tout? Qui sait.

Ce sont toutes des choses que les clients Garmin méritent de savoir. Nous leur faisons confiance pour protéger nos données, et nous méritons vraiment de connaître tous les détails lorsque quelque chose se produit.

Mais bon, au moins ils se sont assurés d'inclure cette charge de merde à la fin du communiqué de presse:

Conçus à l'intérieur pour la vie à l'extérieur, les produits Garmin ont révolutionné les modes de vie de l'aviation, de l'automobile, du fitness, de la marine et de l'extérieur. Dédié à aider les gens à tirer le meilleur parti du temps qu'ils passent à poursuivre leurs passions, Garmin pense que chaque jour est une opportunité d'innover et une chance de battre hier.

Je ne sais pas ce que vous ressentez, mais en tant que client Garmin de longue date, cela me semble être une gifle. Ce n’est pas le moment de faire un argumentaire de vente.

J'ai une idée, Garmin: et toi bmanger hier en améliorant votre sécurité et votre communication?

Alors que peux-tu faire?

Écran de chargement de l'option de calendrier Garmin Connect
De nombreuses parties de Garmin Connect ne se chargent toujours pas correctement. Came

C’est la pire partie d’un scénario comme celui-ci: vous êtes presque impuissant à faire quoi que ce soit. Vous ne pouvez pas forcer Garmin à abandonner ce qui s'est passé ou ce qu'il va faire pour éviter que cela ne se reproduise.

Mais vous pouvez faire ce qui est si souvent recommandé dans des situations comme celle-ci: voter avec votre portefeuille. Passez à une nouvelle plateforme. Supprimez vos données de Garmin et passez à quelque chose, espérons-le, plus fiable ou digne de confiance. Il existe de nombreuses autres entreprises – comme Wahoo, Polar, Hammerhead, etc. – qui fabriquent des produits concurrents avec Garmin.

Le plus gros problème ici est qu'aucune de ces entreprises concurrentes n'a fait face à une situation similaire à laquelle je peux penser. Cela signifie que nous n'avons aucune idée de ceux qui le géreraient le mieux.

Je suppose que le temps nous le dira.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.