Depuis le 22 juillet dernier, Garmin est victime d’un ransomware, empêchant la synchronisation des smartwatch avec les téléphones des utilisateurs. Les données de ces derniers ne seraient pas affectées.
Après être resté discret sur l’origine de la panne, Garmin confirme via un communiqué avoir subi une cyberattaque :
“Nous n’avons aucune raison de penser que des données client, y compris les informations de paiement de Garmin Pay, ont été consultées, perdues ou volées. En outre, la fonctionnalité des produits Garmin n’a pas été affectée, à l’exception de la possibilité d’accéder aux services en ligne”, précise la firme dans le communiqué.
la cyberattaque en question a néanmoins paralysé pendant près d’une semaine l’ensemble des services de Garmin. La synchronisation des montres et bracelets était impossible et Garmin Connect, qui centralise les données des entraînements, des courses, et des activités physiques des utilisateurs, était également inaccessible. La panne touchait enfin le service client, rendant la firme injoignable par e-mail et chat, et de façon très limitée par téléphone.
Selon des sources internes citées par TechCrunch, l’attaque proviendrait de cybercriminels russes ayant réussi à pénétrer les défenses du système d’information de Garmin via un rançongiciel nommé WastedLocker. Attribué, au collectif de hackers russes Evil Corp, le logiciel malveillant aurait chiffré certains systèmes internes de la société le 23 juillet 2020, ce qui a mené à la corruption de bon nombre des services en ligne de Garmin.
L’identité des attaquants complexifie toutefois la résolution du problème, Evil Corp ayant déjà été signalé et sanctionné par le département du Trésor Américain, les entreprises américaines ne peuvent pas légalement payer la rançon demandée (certains rapports évoquent 10 millions d’euros). Brett Callow, un expert en matière de rançon au sein de la société de sécurité Emsisoft confirme :
“En raison de ces sanctions, les ressortissants américains sont généralement interdits de transactions avec ces membres connus. Cela semble créer un champ de mines juridique pour toute entreprise qui envisagerait de payer une rançon de WastedLocker”.
Pour sortir de cette crise, Garmin doit donc uniquement compter sur la restauration de sauvegardes de son système ! Cet incident d’ampleur s’ajoute aux milliards de pertes que représentent chaque années les ransomwares aux sociétés de part le monde. La menace devient de plus en plus active et dangereuse.
Réaction de Sam Curry, Chief Security Officer, Cybereason :
« Je qualifierais de paralysante l’attaque par ransomware contre Garmin, puisqu’elle date maintenant de plus de cinq jours et qu’elle a eu un impact sur Garmin.com et Garmin Connect. Plus Garmin restera hors ligne longtemps, plus le coût de la récupération ne fera qu’augmenter et coûtera très probablement des dizaines de millions de dollars. Et le moment n’a-t-il jamais été aussi mal choisi, à l’aube des résultats trimestriels de Garmin le mercredi 29 juillet ?
La plupart des entreprises ont mis en place des plans d’urgence et des outils pour faire face à la menace des ransomware. Nombre d’entre elles ont ainsi le sentiment que les ransomware constituent désormais un risque compris et maîtrisé. Cependant, il s’agit pour la plupart d’un faux sentiment de sécurité, car l’absence de récentes épidémies de ransomware est due au fait que les attaquants l’utilisent différemment, de manière plus chirurgicale, – et non pas parce que les défenseurs les arrêtent mieux. Le succès de Garmin est sans aucun doute la capacité de ses utilisateurs à accéder à des applications de fitness sur leur plateforme. Et pour des millions d’utilisateurs de smartwatch, plus longtemps ils vont rester hors ligne, plus ils vont être frustrés. Les détails sont peu nombreux pour l’instant, mais Garmin et toutes les entreprises devraient apprendre à leurs employés à s’abstenir de télécharger des logiciels piratés ou des logiciels payants proposés “gratuitement”, car les êtres humains sont le principal atout des cybercriminels pour extorquer de l’argent aux entreprises. Ce qui nous manque, ce sont des détails permettant de savoir si cette attaque fait partie d’une arnaque de phishing ou d’une intrusion plus élaborée ».