Le site américain Bleeping Computer a obtenu la preuve que Garmin dispose de la clé pour résoudre sa cyberattaque. L'entreprise peut ainsi relancer ses services, mais est-ce vraiment une bonne nouvelle ?

Le 23 juillet, Garmin apprenait qu’une large partie de son réseau informatique était hors service, car entièrement chiffré. Un rançongiciel nommé WastedLocker paralysait l’entreprise. Pour se sortir de la situation, Garmin, comme de nombreuses victimes avant lui, devait faire un choix : payer la rançon demandée par les cybercriminels en échange de la clé de déchiffrement, ou restaurer son réseau à partir de ses sauvegardes.

D’après des documents obtenus par le Bleeping Computer, Garmin a obtenu la clé de déchiffrement spécifique à WastedLocker. À moins d’un rebondissement improbable, cela signifie que l’entreprise a payé, vraisemblablement un ou deux jours après l’attaque. Céder à la demande des malfaiteurs leur a permis de commencer à rétablir leur système dès le 27 juillet, là où d’autres victimes reviennent difficilement à la normale un mois après l’attaque. Mais ce choix n’est pas sans conséquence…

Faut-il payer les malfaiteurs ? L’entreprise a-t-elle le choix ? // Source : Louise Audry pour Numerama.

Garmin fait confiance aux cybercriminels

Le paiement de la rançon a un prix. Financier d’abord : d’après plusieurs sites américains, la rançon s’élevait à 10 millions de dollars. Garmin n’a pas confirmé ce montant, mais avec 870 millions de dollars de chiffre d’affaires rien que sur le deuxième trimestre de 2020, l’entreprise a de quoi payer. Et le calcul de coût peut rapidement pencher en faveur des malfaiteurs. Chaque jour supplémentaire de dysfonctionnement des services de Garmin alourdit l’enveloppe des dommages financiers causés par la cyberattaque.

Mais le coût financier n’est qu’un problème de surface, qui en cache un autre, plus problématique. Le Bleeping Computer a obtenu le kit  de restauration utilisé par le service informatique de Garmin. Il comprend une clé de déchiffrement contre WastedLocker et des logiciels de sécurité : de quoi inverser l’attaque, et renforcer les défenses de l’ordinateur.

Identifié comme payeur, Garmin s’expose à une seconde attaque

Il semble donc que  Garmin n’a pas relancé ses systèmes à partir de zéro. C’est pourtant une mesure de précaution répandue, puisqu’il est difficile de savoir quels changements les cybercriminels ont effectués sur le système avant de le chiffrer. En tout cas, l’entreprise semble s’en passer et se contenter du déchiffrement de son système et de l’ajout d’une couche de sécurité. Mais elle s’expose à un scénario catastrophe dans lequel les cybercriminels auraient dissimulé sur ses machines de quoi lancer une nouvelle attaque à l’avenir. Et ils auraient un intérêt, puisque Garmin leur a montré qu’il pouvait payer la rançon.

Garmin alimente le cercle vicieux sans fin des rançongiciels

Enfin, en payant, Garmin finance les cybercriminels et alimente un cercle vicieux qui paraît aujourd’hui sans fin. Des entreprises paient la rançon, ce qui renforce les gangs à l’origine des rançongiciels. Grâce à la recherche financée par les rançons, ils lancent des attaques toujours plus fines et puissantes, qui vont toucher encore plus de victimes. Une partie des victimes  va payer, ce qui va alimenter le développement des rançongiciels… et relancer un cycle vicieux.

C’est grâce à ce système que les rançongiciels se sont améliorés à grande vitesse ses trois dernières années, tant techniquement que dans leurs modes opératoires, avec la publication des données des victimes et de nouvelles méthodes de contamination.

S’il y a tant de points négatifs, pourquoi Garmin paie-t-il ? L’entreprise est accompagnée dans sa gestion de l’incident par deux entreprises spécialistes du sujet, Emsisoft et Coveware, elle n’a donc pas pris sa décision à la légère. Avec des avions cloués au sol à cause de l’arrêt de ses services de GPS, et une gigantesque clientèle de sportifs et sportives agacée par le dysfonctionnement de leur montre, Garmin a choisi de réparer au plus vite. L’entreprise évite ainsi de s’enliser dans une situation ingérable et dans tous les cas coûteuse. Elle pourrait avoir raison. Mais le problème, c’est qu’elle est bien loin d’être la seule à payer les rançonneurs, qui eux continuent à grossir…

Crédit photo de la une : YouTube/Garmin

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux