Indisponibilité de Garmin Connect: chronique d’une catastrophe

24 juillet 2020 greg (nakan) 96

Actuellement chez i-run

En profiter!

Actuellement chez Alltricks

En profiter!

Garmin est en train de vivre ce qui est le cauchemar de tout responsable d’une infrastructure IT de grande entreprise: la quasi totalité des services en ligne est indisponible. Des millions d’utilisateurs de la plateforme Garmin Connect ne peuvent plus charger ou consulter de données issues de leurs montres, mais surtout, ces utilisateurs craignent pour leurs données stockées sur la plateforme. Bien que Garmin se soit murée dans le silence depuis le début de ce qu’il faut bien appeler une crise, des rumeurs persistantes font état d’une attaque informatique majeure. Un ransomware (logiciel malveillant qui prend des données en otage) serait la cause de l’indisponibilité des services de la marque. Plutôt que ma casquette de sportif, c’est avec celle de l’ingénieur en sécurité informatique que j’ai été durant près de 9 ans que j’analyse, de l’extérieur et sans plus d’information que ce qui a été publié jusque là, cette situation hors normes.

Contenu de l’article

Un malheur qui peut arriver à tout le monde

C’est tombé sur Garmin. Il peut y avoir différentes raisons: position sur le marché, niveau d’exposition très élevé, faiblesse identifiée plus facilement ou simplement la faute à pas de chance… Mais que cela soit clair: ça peut arriver à tout le monde.

Aucune entreprise n’est à l’abri. Tout simplement car aucune entreprise ne vit sans avoir de données informatisées quelque part. Évidemment, plus l’exposition est grande (des données de milliers ou de millions d’utilisateurs centralisées en un endroit), plus le risque est élevé. Mais ce qu’il faut retenir, c’est que dans cet article, vous pouvez remplacer Garmin par votre marque de montre de sport, de smartphone, de grille-pain connecté ou de voiture, et cela pourrait être tout aussi vrai. Aucun système informatique n’est infaillible. Aucune protection n’est absolue.

Un modèle de centralisation à l’extrême

Lorsque j’ai acheté ma première montre GPS Garmin, j’utilisais un logiciel à installer sur ordinateur, qui récupérait les données de la montre pour les analyser sans avoir recours à une quelconque connexion à Internet. Garmin Training Center, c’était son nom, ne dépendait d’aucun service en ligne et faisait tout en local… Mais ça c’était avant.

Aujourd’hui, toutes les marques (Apple, Polar, Suunto, Coros et bien sûr Garmin) offrent des services au travers d’une plateforme en ligne. C’est l’ère du Cloud, où toutes les données sont centralisés. Les données des utilisateurs représentent une valeur inestimable pour les entreprises et il est devenu impensable de s’en priver, ou même d’offrir la possibilité à ces derniers de les garder pour eux. Ainsi, les applications mobiles installées sur les smartphones nécessitent un accès à Internet pour la moindre fonction. Quiconque met son téléphone en mode avion s’en rend bien compte: on ne fait plus grand chose… Synchroniser une sortie de course à pied, analyser une nuit de sommeil ou vérifier le nombre de pas de la journée d’hier: toutes ces données nécessitent un accès aux serveurs de la marque. Toutes ces données y sont centralisées.

Techniquement, une application sur smartphone pourrait parfaitement être conçue pour fonctionner en mode déconnecté, en tout cas pour une grande partie des fonctions. La même chose est évidemment possible avec un logiciel sur l’ordinateur.

Il est dans l’intérêt des marques de conserver l’utilisateur captif, en rendant le matériel (montres, compteurs cyclistes) très étroitement dépendant des services logiciels. Ce n’est pas le cas que dans ce marché des objets connectés pour le sport, c’est aussi vrai pour les smartphones, les ordinateurs, les télévisions connectées etc…

Bien sûr, le point faible de tout cela, c’est que dès que les services de l’entreprise en question sont indisponibles, plus rien ne fonctionne ou presque.

Des données toujours plus intimes

Êtes-vous en bonne santé? Avez-vous un mode de vie sain? Avez-vous des habitudes, une routine quotidienne? Où habitez-vous? A quelle heure rentrez-vous à la maison le soir? Quand avez-vous fait l’amour la dernière fois? Si vous portez votre montre connectée, qui analyse en permanence votre fréquence cardiaque, votre saturation en oxygène, votre niveau d’activité, votre position GPS et les informations environnementales (altitude, température, pression barométrique par exemple) il est possible de faire des analyses qui répondent à ces questions, et cela peut aller encore bien plus loin.

Pour une marque comme Garmin, ces données permettent de connaitre en détail les habitudes des utilisateurs, de concevoir des produits et des services plus ciblés et de communiquer avec eux de manière plus efficace. Les données sont en général traitées de manière globale donc largement anonymisées. Mais si des données ont été volées, elles pourraient être individualisées et vendues au plus offrant.

Un cycliste professionnel qui enregistre ses entrainements chez Garmin depuis plusieurs saisons pourrait voir son profil de performance complet dans les dossiers d’un directeur sportif d’une équipe concurrente. L’employé d’une multinationale pourrait être ciblé avec des informations pertinentes sur sa santé par exemple pour lui soutirer des informations sensibles (c’est ce que l’on appelle le social engineering)… Il n’y a pas de limites autres que l’imagination humaine dans l’utilisation frauduleuse de ces données.

Mais des données ont-elles réellement fuité?

Les premières informations officieuses (Garmin n’a encore rien communiqué officiellement) font état d’une attaque par ransomware. Des détails qui semblent avoir filtré des employés de Garmin à Taïwan font état d’une attaque par le logiciel malveillant WastedLocker. Le principe de base de ce logiciel est de prendre en otage les données, en les chiffrant (le but est de les rendre illisibles pour la société visée), puis de demander une rançon pour la clé permettant de les déchiffrer et les rendre à nouveau utilisables.

WastedLocker est un logiciel malveillant relativement récent, il aurait été identifié pour la première fois en mai 2020. D’autres de même type circulent par contre sur Internet depuis plusieurs années. Ce logiciel serait lié à une organisation de pirates informatiques russes nommée Evil Corp. Garmin ne serait pas leur première victime, et des sociétés visées par ce logiciel ont récemment témoigné de sa très grande efficacité à causer des dommages importants.

Une conclusion hâtive de ce type d’attaque serait de déduire que si un logiciel prend en otage les données en les rendant illisibles, cela écarte la piste d’un vol de données. Or, l’histoire de ce type d’attaques regorge de cas où le ransomware n’est utilisé qu’à la fin d’un piratage massif, après avoir dérobé des données (parfois étalé sur des mois), pour détourner l’attention, effacer les traces ou retarder la découverte du vol de données.

Une analogie simple de ceci est le vol d’œuvres d’art dans un musée. En volant deux tableaux, on les verrait vite sur une liste d’œuvres volées et internationalement recherchées. Leur transport et évidemment leur revente serait ainsi bien plus compliquée. Mais, si après avoir volé les tableaux, on met le feu au musée, cela retardera l’identification du vol, car les pompiers devront lutter contre le feu. Le feu et l’eau des pompiers auront effacé une grande partie des traces du vol.

Cela pourrait donc être une couverture. On lance le ransomware à la fin de l’opération lorsque tout est fini, comme on met le feu au musée. La pression sur les équipes de Garmin est actuellement à la remise en service des systèmes. L’analyse de la surface d’attaque et de l’éventuel vol de données est donc retardée, et certaines preuves ou traces du piratage irrémédiablement effacées par des actions précipitées de remise en fonction des services.

Une attaque ciblée pour nuire aux intérêts de Garmin

Bien que moins probable, le logiciel malveillant pourrait également avoir été utilisé par une autre entité pour brouiller les pistes. Un concurrent pourrait avoir tenté une attaque informatique pour voler des données techniques (des algorithmes, du code source logiciel ou des schémas électronique) et détourner les pistes vers les pirates russes.

Garmin est l’un des leaders du marché, et avec le récent rachat de Firstbeat, son R&D possède une avance de plusieurs années sur la concurrence. Une cible de choix. Et afin de masquer cet espionnage industriel, ou la tentative de fermeture des lignes de production de la marque, couvrir ses arrières avec un ransomware d’un groupe de pirates russes qui n’a finalement pas grand chose à voir avec l’attaque, mais cela détourne pour sûr l’attention au moins quelques temps.

Pourquoi une interruption de services si longue ?

Les premiers problèmes ont été détectés en Europe, au petit matin du jeudi 23 juillet. Il n’est pas attendu un retour à la normale avant le dimanche 26 juillet au plus tôt. Une éternité pour un utilisateur agacé qui rafraichit son app toutes les 5 minutes…

Pourquoi est-ce si long? Pour avoir fait face à ce type de problématiques dans des infrastructures IT bien plus petites, voici les étapes que sont très probablement en train de suivre les équipes informatiques de Garmin. Et je peux vous l’assurer: ces étapes prennent du temps.

Identifier le problème

Le problème est survenu au petit matin en Europe, c’est à dire au milieu de la nuit au siège de la marque au Kansas. Le timing n’est sûrement pas choisi par hasard.

Cela a probablement pu ralentir l’identification précise du problème. Les équipes européennes et asiatiques ont probablement rapidement constaté un souci, mais ont du attendre qu’une personne d’astreinte aux US soit disponible, en identifie l’ampleur et alerte les équipes concernées. Ces équipes ont également réagi plus lentement puisque réveillées au milieu de la nuit.

Stopper la propagation du logiciel malveillant

Le réseau informatique d’une entreprise de la taille de Garmin est très segmenté, on pourrait donc analyser les portions potentiellement touchées par le malware, et les isoler pour stopper sa propagation. Un peu comme on met le quartier d’une ville en quarantaine ou en confinement au début d’une épidémie.

Mais dans la pratique, c’est une tâche extrêmement difficile et parfois peu efficace, c’est pourquoi il est souvent choisi d’éteindre complétement les infrastructures informatiques de l’entreprise puis de les analyser une par une pour faire un état des lieux. Pour reprendre l’analogie de l’épidémie, on met cette fois en confinement le pays entier.

C’est très probablement la solution qui a été retenue par Garmin car la seule communication officielle fait état de l’indisponibilité de tous les services, y compris la téléphonie d’entreprise.

Éliminer le logiciel malveillant

C’est un travail qui devient difficile lorsque tout est éteint, mais nécessaire avant toute autre opération. Il faut procéder méthodiquement, en fonction des observations faites avant l’extinction générale des systèmes.

Rallumer des services avec le malware encore présent, c’est comme déconfiner un ville ou un pays trop vite: l’épidémie reprend tout de suite et il faut tout recommencer.

Faire un état des lieux des dégâts

Là, il faut faire l’inventaire de ce qui a été perdu, de ce qui peut être sauvé et de ce qui est intact. Exactement comme la première visite d’une maison qui a subi un incendie après son extinction par les pompiers.

Ce travail est titanesque, car non seulement la présence des données doit être vérifiée sur chaque système, mais il faut également vérifier leur intégrité (ont-elles été modifiées). Sur un dossier avec 3 tableurs Excel, c’est facile, mais pour les activités sportives de 10 ans d’historique de millions d’utilisateurs, c’est une autre paire de manches.

Établir un plan d’action

En fonction de l’état des lieux à l’issue de l’étape précédente, il faut maintenant choisir les actions à mener pour un retour à la normale. On ignore évidemment quel est cet état dans le cas qui nous intéresse (ou même si Garmin a déjà terminé cet inventaire). Les possibilités sont les suivantes:

Aucune donnée des plateformes en ligne n’ont été impactées: il est alors possible de remettre les services à disposition.
Des données de services secondaires ont été impactées: il est possible de remettre en service une partie du système et de travailler avec moins de stress au rétablissement des autres services annexes.
Des données sensibles ou essentielles au fonctionnement des services ont été touchées à plus ou moins large échelle: un plan d’action plus conséquent doit être prévu.

Dans ce dernier cas, il faudra prévoir de récupérer les données d’une sauvegarde à large échelle. Ce scénario est prévu dans les plans de continuité ou de reprise d’activité de toutes les entreprises opérant avec des données informatiques. Toutefois, le processus complet de récupération des données n’est jamais validé en conditions réelles pour des raisons de temps, d’infrastructure et de coûts. On simule aléatoirement la récupération de données sur une petite partie du système dont on souhaite valider le fonctionnement lors d’audits internes ou externes.

Dans le meilleur scénario, Garmin dispose d’un site miroir qui n’a pas été impacté et qui dispose des données de la plateforme avant le problème. Dans ce cas, il suffit de répliquer ces données dans les centres de données du monde entier et de redémarrer le système. Une opération qui prend quelques heures à quelques jours.

Dans un cas un peu plus critique, la récupération doit se faire d’une sauvegarde « froide », comme si on devait récupérer nos anciennes photos de vacances depuis les négatifs conservés à la cave. Ces données existent, mais il faut un processus plus complexe pour les remettre en service. De plus, ces sauvegardes froides ne sont souvent effectuées que quelques fois par jour, et il est possible que quelques informations (sur une plage de quelques heures avant l’attaque) soient perdues. Ce processus nécessite une charge de travail plus importante et peut nécessiter, en fonction de la taille des systèmes, de 2 jours à plus d’une semaine.

Dans le pire des cas, inimaginable, Garmin ne dispose pas de sauvegarde à froid utilisable. Soit parce qu’il n’en existe pas, soit parce qu’elles ont également été touchées par le logiciel malveillant. Ce scénario du pire pourrait signifier la mort de l’entreprise. Il est très hautement improbable.

Valider le fonctionnement

Après avoir récupéré les données, le système doit être validé avant d’être à nouveau ouvert au public. Contient-il de données intègres? Y’a-t-il des problèmes de fonctionnement? Les équipes de tests et de validation entrent en jeu et déroulent des milliers de scénarios pré-définis dans le système pour valider qu’il fonctionne correctement.

Synchroniser les datacenters mondiaux

Une fois la plateforme certifiée fonctionnelle, il faut encore synchroniser ces données sur les sites informatiques de Garmin du monde entier. Afin de ne pas mettre une pression ingérable sur une seule infrastructure informatique centralisée, les services comme Garmin Connect utilisent ce que l’on appelle des services de distribution de contenu (CDN) ou distribution de charge (Load Balancers). Un utilisateur allemand de Garmin Connect se connectera au centre de données situé à Berlin plutôt qu’à celui de San Francisco. Toutes les grandes entreprises IT utilisent ces systèmes.

Rouvrir les services, mais pas d’un coup

Que vont faire les utilisateurs dès que les systèmes seront à nouveau opérationnels ? Se précipiter sur leur smartphone pour synchroniser leurs montres et compteurs. Avec des liens vers Strava, TrainingPeaks, Komoot, des données d’entrainement, de pas, de sommeil… La charge va être phénoménale. Donc le service ne peut pas être ouvert à tout le monde en même temps. Il faut ré-ouvrir au compte-gouttes, et étaler cette ouverture sur plusieurs heures au moins, plusieurs jours plus probablement. Il est très probable que cette réouverture se fasse en parallèle de la synchronisation des données de l’étape précédente. Lorsqu’un site est prêt, il ouvre progressivement.

Donc si les américains ont accès à Garmin Connect mais pas les européens, c’est pour cela, et il faudra encore un peu de patience.

Analyser les traces informatiques de l’attaque

En informatique, on trace les opérations réalisées sur tous les systèmes dans des fichiers de journaux appelés « logs ». Ces logs permettent de savoir qu’est-ce qui a été fait, par qui et quand sur un système. En analysant les logs de centaines voire de milliers de systèmes informatiques à travers l’entreprise (des logs des équipements de réseau, de sécurité, des systèmes de données, des applications de surveillance de systèmes…) il sera probablement possible de remonter tout ou partie du déroulement de l’attaque.

A la fin de ce processus, une analyse dite « post-mortem » de l’attaque est rédigée. De cette analyse, souvent confiée à des organismes externes, des enseignements sont tirés pour améliorer les processus internes en termes de sécurité, de sauvegarde des données et de comportements en cas de crise future.

La pression légale

Le problème, c’est que le rapport final de l’analyse post-mortem d’une telle attaque est souvent publié des semaines voire des mois après une attaque, et reste très souvent confidentiel à l’interne de la société. Or, des lois aussi bien américaines qu’européennes exigent que les entreprises annoncent ces attaques bien plus rapidement.

Aux USA, les lois de ce type de sont pas d’ordre fédérale, et j’ignore laquelle s’applique concrètement à Garmin. Mais en Europe, le RGPD (Règlement Général sur la Protection des Données) exige qu’une entreprise communique sur un incident de sécurité informatique dans les 72h. Admettons que les problèmes ont été détectés au matin du 23 juillet à 6:00 GMT, cela laisse à Garmin jusqu’à dimanche 26 au matin à 6:00 GMT pour annoncer à la CNIL ou son équivalent dans un autre pays de l’UE le type d’attaque subie et son impact.

On peut citer notamment dans le RGPD:

En cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection en cas de violations de données. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, alors ces dernières doivent également en être informées.

Ainsi que:

Les Entreprises seront obligées de signaler à une autorité compétente et aux personnes concernées tout piratage de données à caractère personnel dans un délai de 72 heures au maximum, à partir de mai 2018

Pour autant, RGPD ne stipule pas explicitement que ces annonces sont de facto rendues publiques. Il n’est donc pas impossible que Garmin les communique aux services concernés, mais pas aux utilisateurs, en tout cas dans un premier temps. En ne respectant pas ces dispositions, Garmin s’expose à une sanction financière allant jusqu’à 4% de son chiffre d’affaires mondial annuel.

Des dégâts informatiques limités, mais un dégât d’image durable

Si au final il est très probable que les services de Garmin reviennent en ligne quasiment à la normale sans quasi aucune perte de données, le dégât d’image sera important, et on parlera longtemps de cet incident dans le petit milieu du sport connecté. Si les équipes informatiques de Garmin sont vraisemblablement à pied d’œuvre, les équipes de communication sont aphones. Mais ce silence n’est jamais une bonne stratégie, c’est ce qu’apprendra Garmin dans le rapport post-mortem général. Toutes les entreprises victimes de ce type de problèmes l’ont appris. Plutôt que de laisser ses utilisateurs dans le flou, la marque gagnerait à donner des informations sur la situation.

A plus long terme, la pression va remonter sur un mode de fonctionnement moins dépendant des services en ligne des montres et autres accessoires. La sécurité des données, et la possibilité de configurer une authentification multi-facteur sur ces plateformes en ligne deviendront des thématiques des milieux bien informés. Mais je ne m’attend pas à des changement drastiques importants suite à ce problème. En tout cas rien de visible, car certains processus internes chez Garmin vont changer, cela est certain.

Et maintenant, que vais-je faire… (de tout ce temps…) ?

Tout cela, c’est de la théorie. Mais en attendant, que faire? Sachez que vos montres ou compteurs Garmin continuent à fonctionner correctement. Il n’est manifestement pas risqué de les utiliser, et ils enregistrent correctement vos activités sportives. Si la situation devait durer plus d’une semaine, les appareils perdront leurs informations d’éphémérides A-GPS et le fonctionnement deviendra plus lent dans l’acquisition d’un signal GPS. Mais toujours pas de problème de fonctionnement.

Simplement, les données d’entrainement seront stockées dans la mémoire de l’appareil mais plus synchronisées en ligne. Il faudra passer par une procédure manuelle pour les récupérer depuis un ordinateur, et les charger dans Strava, TrainingPeaks, Stryd Powercenter ou d’autres services pour les analyser. Voici la procédure à suivre en vidéo:

La mémoire de la plupart des appareils Garmin permet de stocker un historique très important (de 1 mois à 1 an en général). Donc pas de problème pour l’utiliser hors ligne durant quelques jours. Les parcours GPX issus de sites tiers (Strava, Komoot, Openrunner par exemple) pourront également être chargés dans les répertoires « New Files » ou « Courses » de l’appareil Garmin pour suivre un itinéraire.

Pour conclure

Cet incident aura mis en lumière la dépendance non seulement technique mais aussi affective à notre environnement sportif connecté. Certains sportifs ayant ouvertement annoncé reporter leurs séances d’entrainement à plus tard puisque les services en lignes ne sont plus disponible. Chacun a sa propre relation au sport et aux outils technologiques. Un peu à l’instar de la crise sanitaire mondiale de cette année, certes dans une mensure infiniment moindre, cet épisode aura simplement eu le mérite de mettre en lumière une vulnérabilité que l’on pensait disparue, et qui nous met, mal à l’aise, devant une nouvelle situation de faiblesse…

La discussion continue

Pour rester informé au plus près de l'actu du site et du marché:

Le podcast: Des épisodes de 30-40 minutes sur des thématiques de fond, sur l'entrainement, la technologie, l'alimentation ou bien d'autres sujets encore. A écouter sans modération!

Le compte Twitter: Actu, tendances, nouveautés, rumeurs, avis. Pour vivre l'actu du sport connecté au quotidien!

La page Facebook. Evenements, concours, actualité, bons plans. Chaque jour, la page Facebook de nakan.ch compte un peu plus de fans. Rejoins-là toi aussi!

La chaîne Youtube pour retrouver présentations, tutos, reportages ou interviews.

Le compte Instagram. L'actu du site et de ses coulisses en photos! Ne manque pas les stories pour être le premier informé des nouveautés ;-)

Supporter ce site pour de futurs articles

Rédiger des tests et des articles sur la technologie dans le sport est une passion dévorante! Cela fait plus de 12 ans que je le fais en marge de mon activité professionnelle et sportive.Je ne compte pas mon temps, et je ne suis absolument pas rémunéré par les marques pour le faire.

En passant par l'un des liens ci-dessous pour réaliser votre prochaine commande en ligne, je touche une petite commission sur la transaction, vous soutiendrez le site, et cela ne vous côutera pas plus cher!

Vous pouvez également soutenir le site au travers de la plateforme "Buy Me a Coffee" ou d'autres moyens de soutenir le site sur cette page. Je vous en remercie beaucoup!

Pour tout savoir sur ma politique de publication et de publicité sur le site, rendez-vous ici!

i-run, c'est le spécialiste de l'équipement de sport en ligne! Chaussures, textile, équipement et bien sûr, cardio-GPS!

On ne présente plus amazon, qui propose un catalogue de miliers de produits, y compris tous les articles de sport!

Alltricks, c'est tout l'univers de l'outdoor, du vélo et de la course à pied, sans oublier bien sûr l'électronique de sport!

Cookie	Durée	Description
cookielawinfo-checkbox-necessary	3600	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
viewed_cookie_policy	3600	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.