Après 5 jours d'arrêt total d'une large partie de son activité, les services du spécialiste du GPS Garmin redémarrent doucement. Ce délai, une éternité pour certains utilisateurs des produits de la marque, est en réalité relativement commun chez les victimes de rançongiciel.

Le jeudi 23 juillet, à 4 heures du matin, Garmin a vécu le scénario cauchemardesque de toute entreprise : un rançongiciel a touché son système informatique. Ce virus virulent  a chiffré de nombreux fichiers, de sorte qu’ils sont devenus incompréhensibles à la fois pour les humains et les machines. En conséquence : plusieurs services de Garmin sont depuis paralysés ou au ralenti, car ils n’ont plus accès aux données nécessaires à leur fonctionnement, comme le rapporte ZDNet.

Ce lundi 27 juillet, Garmin est parvenu à relancer une partie de ses services, tout en limitant certaines fonctionnalités, comme il l’indique sur sa page dédiée, régulièrement mise à jour. Concrètement, pendant 5 jours, la majorité des plus de 15 000 employés du géant du GPS ne pouvaient pas travailler, faute d’avoir du matériel informatique fonctionnel ou d’un accès au réseau d’entreprise. Le coût de cet arrêt n’a pas encore été estimé, mais puisque l’entreprise a dégagé 3,7 milliards de chiffre d’affaires sur l’année 2019, il pourrait se compter en millions d’euros. Et encore, il faut ajouter à l’addition le coût de la restauration du système, ou celui du paiement de la rançon, selon l’option choisie par la victime.

Les données de Garmin sont chiffrées, et les cybercriminels exigent une rançon très élevée pour les déchiffrer. // Source : Louise Audry pour Numerama

Cette interruption de 5 jours des services, très longue aux yeux de certains utilisateurs, n’est pas exceptionnelle chez les victimes de rançongiciel. Parfois, elles peuvent même en subir les séquelles pendant plusieurs mois, voire être endommagées au point de déposer le bilan. Ce ne devrait pas être le cas de Garmin, qui a une taille suffisante pour survivre à l’attaque, une fois qu’elle en sera débarrassée. L’ampleur des dégâts pourrait en revanche inquiéter les actionnaires de l’entreprise, alors le groupe américain publiera ses résultats semestriels mercredi 29 juillet. Les dirigeants ont intérêt à avoir résolu leurs problèmes d’ici là, ou au moins à les expliquer clairement.

Le rançongiciel a frappé tous les services de Garmin

La face émergée de l’incident s’est vue lorsque les montres connectées de Garmin, populaires chez les cyclistes et les coureurs ont cessé de fonctionner correctement. Un message prétendait qu’il s’agissait d’une maintenance, et appelait les utilisateurs à se reconnecter plus tard.

En réalité, dès que l’entreprise a pris connaissance du rançongiciel, elle a déconnecté son service Garmin Connect, qui permet aux utilisateurs de collecter, d’analyser et de partager les données produites par les appareils de la marque. Il récupère par exemple les coordonnées GPS, le rythme cardiaque ou encore l’estimation du nombre de calories brûlées, et va les stocker sur les serveurs de l’entreprise américaine.

Mais difficile pour les utilisateurs de faire part de leur mécontentement à Garmin : ses centres d’appels ne fonctionnaient plus correctement. Impossible d’envoyer un email ou d’obtenir un appel avec l’entreprise autrement qu’en passant par leurs réseaux sociaux. Les premières communications se sont donc faites sur Twitter, tandis que plusieurs employés prenaient la parole sur leurs comptes personnels.

Garmin doit tout redémarrer

Et encore, ce n’était que la face visible des problèmes. Garmin édite des logiciels de navigation pour les pilotes d’avion ainsi que des logiciels de planification de vols, également hors services pendant plusieurs jours. Pire : le rançongiciel s’est tellement étalé que les machines des chaînes de production de la marque à Taïwan ont été paralysées pendant deux jours, d’après la presse locale.

Avec autant de services touchés, le plan de restauration s’étendait dès le départ sur plusieurs jours. L’entreprise a commencé par déconnecter son site, ainsi qu’une large majorité de ses services dès le 23 juillet au matin. Garmin a même demandé à ses employés de débrancher leurs ordinateurs personnels, y compris ceux qui travaillaient à distance sur le VPN de l’entreprise. L’objectif : limiter au maximum la contamination des systèmes par le rançongiciel.

La chance : les données utilisateurs semblent épargnées

Dans sa malchance, Garmin a eu de la chance : d’après le Bleeping Computer, le rançongiciel qui l’affecte est WastedLocker, opéré par les Russes de Evil Corp. À l’inverse d’autres gangs de cybercriminels comme Maze ou Sodikinobi, ce groupe ne fait pas de chantage à la fuite de données, et ne semble pas les dérober.

L’entreprise a donc pu rassurer ses clients dans son communiqué : «  nous n’avons aucune indication que cet incident a affecté vos données, y compromis votre activité, vos paiements ou d’autres informations personnelles. »

Payer 10 millions de dollars ou payer la restauration du système

Plusieurs rumeurs affirment que les cybercriminels exigent une rançon de 10 millions de dollars, un montant crédible étant donné la situation de l’entreprise et le passé de Evil Corp. Puisqu’il n’est pas soumis à la pression de la publication des données clients, Garmin a un peu plus de temps pour restaurer son système informatique à partir de ses sauvegardes, et peut se permettre de refuser le paiement. Ce processus, laborieux et parfois aussi coûteux que la rançon, permet cependant de ne pas avoir à faire confiance aux cybercriminels. C’est aussi le choix conseillé par tous les experts du sujet.

Pour se relever plus rapidement de l’attaque, Garmin pourrait choisir de payer la rançon et ainsi récupérer la clé de déchiffrement. Mais en plus de se confronter à des problématiques de confiance, il viendrait interférer avec des sanctions des autorités américaines. En décembre 2019, le gouvernement a sanctionné Evil Corp pour l’usage d’un autre de leurs malwares, Dridex, qui avait causé plus de 100 millions de dollars de dommages.

Crédit photo de la une : YouTube/Garmin

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux