Focus

Indisponibilité de Garmin Connect: chronique d’une catastrophe

promotion nakan.ch est aussi sur YouTube: Astuces, tests et bien plus sont à retrouver sur la chaîne YouTube. Ne manquez pas les dernières vidéos et n'oubliez pas de vous abonner
 

S'abonner à la chaine: S'abonner

Garmin est en train de vivre ce qui est le cauchemar de tout responsable d’une infrastructure IT de grande entreprise: la quasi totalité des services en ligne est indisponible. Des millions d’utilisateurs de la plateforme Garmin Connect ne peuvent plus charger ou consulter de données issues de leurs montres, mais surtout, ces utilisateurs craignent pour leurs données stockées sur la plateforme. Bien que Garmin se soit murée dans le silence depuis le début de ce qu’il faut bien appeler une crise, des rumeurs persistantes font état d’une attaque informatique majeure. Un ransomware (logiciel malveillant qui prend des données en otage) serait la cause de l’indisponibilité des services de la marque. Plutôt que ma casquette de sportif, c’est avec celle de l’ingénieur en sécurité informatique que j’ai été durant près de 9 ans que j’analyse, de l’extérieur et sans plus d’information que ce qui a été publié jusque là, cette situation hors normes.

Un malheur qui peut arriver à tout le monde

C’est tombé sur Garmin. Il peut y avoir différentes raisons: position sur le marché, niveau d’exposition très élevé, faiblesse identifiée plus facilement ou simplement la faute à pas de chance… Mais que cela soit clair: ça peut arriver à tout le monde.

Aucune entreprise n’est à l’abri. Tout simplement car aucune entreprise ne vit sans avoir de données informatisées quelque part. Évidemment, plus l’exposition est grande (des données de milliers ou de millions d’utilisateurs centralisées en un endroit), plus le risque est élevé. Mais ce qu’il faut retenir, c’est que dans cet article, vous pouvez remplacer Garmin par votre marque de montre de sport, de smartphone, de grille-pain connecté ou de voiture, et cela pourrait être tout aussi vrai. Aucun système informatique n’est infaillible. Aucune protection n’est absolue.

Un modèle de centralisation à l’extrême

Lorsque j’ai acheté ma première montre GPS Garmin, j’utilisais un logiciel à installer sur ordinateur, qui récupérait les données de la montre pour les analyser sans avoir recours à une quelconque connexion à Internet. Garmin Training Center, c’était son nom, ne dépendait d’aucun service en ligne et faisait tout en local… Mais ça c’était avant.

Aujourd’hui, toutes les marques (Apple, Polar, Suunto, Coros et bien sûr Garmin) offrent des services au travers d’une plateforme en ligne. C’est l’ère du Cloud, où toutes les données sont centralisés. Les données des utilisateurs représentent une valeur inestimable pour les entreprises et il est devenu impensable de s’en priver, ou même d’offrir la possibilité à ces derniers de les garder pour eux. Ainsi, les applications mobiles installées sur les smartphones nécessitent un accès à Internet pour la moindre fonction. Quiconque met son téléphone en mode avion s’en rend bien compte: on ne fait plus grand chose… Synchroniser une sortie de course à pied, analyser une nuit de sommeil ou vérifier le nombre de pas de la journée d’hier: toutes ces données nécessitent un accès aux serveurs de la marque. Toutes ces données y sont centralisées.

Techniquement, une application sur smartphone pourrait parfaitement être conçue pour fonctionner en mode déconnecté, en tout cas pour une grande partie des fonctions. La même chose est évidemment possible avec un logiciel sur l’ordinateur.

Il est dans l’intérêt des marques de conserver l’utilisateur captif, en rendant le matériel (montres, compteurs cyclistes) très étroitement dépendant des services logiciels. Ce n’est pas le cas que dans ce marché des objets connectés pour le sport, c’est aussi vrai pour les smartphones, les ordinateurs, les télévisions connectées etc…

Bien sûr, le point faible de tout cela, c’est que dès que les services de l’entreprise en question sont indisponibles, plus rien ne fonctionne ou presque.

Des données toujours plus intimes

Êtes-vous en bonne santé? Avez-vous un mode de vie sain? Avez-vous des habitudes, une routine quotidienne? Où habitez-vous? A quelle heure rentrez-vous à la maison le soir? Quand avez-vous fait l’amour la dernière fois? Si vous portez votre montre connectée, qui analyse en permanence votre fréquence cardiaque, votre saturation en oxygène, votre niveau d’activité, votre position GPS et les informations environnementales (altitude, température, pression barométrique par exemple) il est possible de faire des analyses qui répondent à ces questions, et cela peut aller encore bien plus loin.

Pour une marque comme Garmin, ces données permettent de connaitre en détail les habitudes des utilisateurs, de concevoir des produits et des services plus ciblés et de communiquer avec eux de manière plus efficace. Les données sont en général traitées de manière globale donc largement anonymisées. Mais si des données ont été volées, elles pourraient être individualisées et vendues au plus offrant.

Un cycliste professionnel qui enregistre ses entrainements chez Garmin depuis plusieurs saisons pourrait voir son profil de performance complet dans les dossiers d’un directeur sportif d’une équipe concurrente. L’employé d’une multinationale pourrait être ciblé avec des informations pertinentes sur sa santé par exemple pour lui soutirer des informations sensibles (c’est ce que l’on appelle le social engineering)… Il n’y a pas de limites autres que l’imagination humaine dans l’utilisation frauduleuse de ces données.

Mais des données ont-elles réellement fuité?

Les premières informations officieuses (Garmin n’a encore rien communiqué officiellement) font état d’une attaque par ransomware. Des détails qui semblent avoir filtré des employés de Garmin à Taïwan font état d’une attaque par le logiciel malveillant WastedLocker. Le principe de base de ce logiciel est de prendre en otage les données, en les chiffrant (le but est de les rendre illisibles pour la société visée), puis de demander une rançon pour la clé permettant de les déchiffrer et les rendre à nouveau utilisables.

WastedLocker est un logiciel malveillant relativement récent, il aurait été identifié pour la première fois en mai 2020. D’autres de même type circulent par contre sur Internet depuis plusieurs années. Ce logiciel serait lié à une organisation de pirates informatiques russes nommée Evil Corp. Garmin ne serait pas leur première victime, et des sociétés visées par ce logiciel ont récemment témoigné de sa très grande efficacité à causer des dommages importants.

Une conclusion hâtive de ce type d’attaque serait de déduire que si un logiciel prend en otage les données en les rendant illisibles, cela écarte la piste d’un vol de données. Or, l’histoire de ce type d’attaques regorge de cas où le ransomware n’est utilisé qu’à la fin d’un piratage massif, après avoir dérobé des données (parfois étalé sur des mois), pour détourner l’attention, effacer les traces ou retarder la découverte du vol de données.

Une analogie simple de ceci est le vol d’œuvres d’art dans un musée. En volant deux tableaux, on les verrait vite sur une liste d’œuvres volées et internationalement recherchées. Leur transport et évidemment leur revente serait ainsi bien plus compliquée. Mais, si après avoir volé les tableaux, on met le feu au musée, cela retardera l’identification du vol, car les pompiers devront lutter contre le feu. Le feu et l’eau des pompiers auront effacé une grande partie des traces du vol.

Cela pourrait donc être une couverture. On lance le ransomware à la fin de l’opération lorsque tout est fini, comme on met le feu au musée. La pression sur les équipes de Garmin est actuellement à la remise en service des systèmes. L’analyse de la surface d’attaque et de l’éventuel vol de données est donc retardée, et certaines preuves ou traces du piratage irrémédiablement effacées par des actions précipitées de remise en fonction des services.

Une attaque ciblée pour nuire aux intérêts de Garmin

Bien que moins probable, le logiciel malveillant pourrait également avoir été utilisé par une autre entité pour brouiller les pistes. Un concurrent pourrait avoir tenté une attaque informatique pour voler des données techniques (des algorithmes, du code source logiciel ou des schémas électronique) et détourner les pistes vers les pirates russes.

Garmin est l’un des leaders du marché, et avec le récent rachat de Firstbeat, son R&D possède une avance de plusieurs années sur la concurrence. Une cible de choix. Et afin de masquer cet espionnage industriel, ou la tentative de fermeture des lignes de production de la marque, couvrir ses arrières avec un ransomware d’un groupe de pirates russes qui n’a finalement pas grand chose à voir avec l’attaque, mais cela détourne pour sûr l’attention au moins quelques temps.

Pourquoi une interruption de services si longue ?

Les premiers problèmes ont été détectés en Europe, au petit matin du jeudi 23 juillet. Il n’est pas attendu un retour à la normale avant le dimanche 26 juillet au plus tôt. Une éternité pour un utilisateur agacé qui rafraichit son app toutes les 5 minutes…

Pourquoi est-ce si long? Pour avoir fait face à ce type de problématiques dans des infrastructures IT bien plus petites, voici les étapes que sont très probablement en train de suivre les équipes informatiques de Garmin. Et je peux vous l’assurer: ces étapes prennent du temps.

Identifier le problème

Le problème est survenu au petit matin en Europe, c’est à dire au milieu de la nuit au siège de la marque au Kansas. Le timing n’est sûrement pas choisi par hasard.

Cela a probablement pu ralentir l’identification précise du problème. Les équipes européennes et asiatiques ont probablement rapidement constaté un souci, mais ont du attendre qu’une personne d’astreinte aux US soit disponible, en identifie l’ampleur et alerte les équipes concernées. Ces équipes ont également réagi plus lentement puisque réveillées au milieu de la nuit.

Stopper la propagation du logiciel malveillant

Le réseau informatique d’une entreprise de la taille de Garmin est très segmenté, on pourrait donc analyser les portions potentiellement touchées par le malware, et les isoler pour stopper sa propagation. Un peu comme on met le quartier d’une ville en quarantaine ou en confinement au début d’une épidémie.

Mais dans la pratique, c’est une tâche extrêmement difficile et parfois peu efficace, c’est pourquoi il est souvent choisi d’éteindre complétement les infrastructures informatiques de l’entreprise puis de les analyser une par une pour faire un état des lieux. Pour reprendre l’analogie de l’épidémie, on met cette fois en confinement le pays entier.

C’est très probablement la solution qui a été retenue par Garmin car la seule communication officielle fait état de l’indisponibilité de tous les services, y compris la téléphonie d’entreprise.

Éliminer le logiciel malveillant

C’est un travail qui devient difficile lorsque tout est éteint, mais nécessaire avant toute autre opération. Il faut procéder méthodiquement, en fonction des observations faites avant l’extinction générale des systèmes.

Rallumer des services avec le malware encore présent, c’est comme déconfiner un ville ou un pays trop vite: l’épidémie reprend tout de suite et il faut tout recommencer.

Faire un état des lieux des dégâts

Là, il faut faire l’inventaire de ce qui a été perdu, de ce qui peut être sauvé et de ce qui est intact. Exactement comme la première visite d’une maison qui a subi un incendie après son extinction par les pompiers.

Ce travail est titanesque, car non seulement la présence des données doit être vérifiée sur chaque système, mais il faut également vérifier leur intégrité (ont-elles été modifiées). Sur un dossier avec 3 tableurs Excel, c’est facile, mais pour les activités sportives de 10 ans d’historique de millions d’utilisateurs, c’est une autre paire de manches.

Établir un plan d’action

En fonction de l’état des lieux à l’issue de l’étape précédente, il faut maintenant choisir les actions à mener pour un retour à la normale. On ignore évidemment quel est cet état dans le cas qui nous intéresse (ou même si Garmin a déjà terminé cet inventaire). Les possibilités sont les suivantes:

  • Aucune donnée des plateformes en ligne n’ont été impactées: il est alors possible de remettre les services à disposition.
  • Des données de services secondaires ont été impactées: il est possible de remettre en service une partie du système et de travailler avec moins de stress au rétablissement des autres services annexes.
  • Des données sensibles ou essentielles au fonctionnement des services ont été touchées à plus ou moins large échelle: un plan d’action plus conséquent doit être prévu.

Dans ce dernier cas, il faudra prévoir de récupérer les données d’une sauvegarde à large échelle. Ce scénario est prévu dans les plans de continuité ou de reprise d’activité de toutes les entreprises opérant avec des données informatiques. Toutefois, le processus complet de récupération des données n’est jamais validé en conditions réelles pour des raisons de temps, d’infrastructure et de coûts. On simule aléatoirement la récupération de données sur une petite partie du système dont on souhaite valider le fonctionnement lors d’audits internes ou externes.

Dans le meilleur scénario, Garmin dispose d’un site miroir qui n’a pas été impacté et qui dispose des données de la plateforme avant le problème. Dans ce cas, il suffit de répliquer ces données dans les centres de données du monde entier et de redémarrer le système. Une opération qui prend quelques heures à quelques jours.

Dans un cas un peu plus critique, la récupération doit se faire d’une sauvegarde « froide », comme si on devait récupérer nos anciennes photos de vacances depuis les négatifs conservés à la cave. Ces données existent, mais il faut un processus plus complexe pour les remettre en service. De plus, ces sauvegardes froides ne sont souvent effectuées que quelques fois par jour, et il est possible que quelques informations (sur une plage de quelques heures avant l’attaque) soient perdues. Ce processus nécessite une charge de travail plus importante et peut nécessiter, en fonction de la taille des systèmes, de 2 jours à plus d’une semaine.

Dans le pire des cas, inimaginable, Garmin ne dispose pas de sauvegarde à froid utilisable. Soit parce qu’il n’en existe pas, soit parce qu’elles ont également été touchées par le logiciel malveillant. Ce scénario du pire pourrait signifier la mort de l’entreprise. Il est très hautement improbable.

Valider le fonctionnement

Après avoir récupéré les données, le système doit être validé avant d’être à nouveau ouvert au public. Contient-il de données intègres? Y’a-t-il des problèmes de fonctionnement? Les équipes de tests et de validation entrent en jeu et déroulent des milliers de scénarios pré-définis dans le système pour valider qu’il fonctionne correctement.

Synchroniser les datacenters mondiaux

Une fois la plateforme certifiée fonctionnelle, il faut encore synchroniser ces données sur les sites informatiques de Garmin du monde entier. Afin de ne pas mettre une pression ingérable sur une seule infrastructure informatique centralisée, les services comme Garmin Connect utilisent ce que l’on appelle des services de distribution de contenu (CDN) ou distribution de charge (Load Balancers). Un utilisateur allemand de Garmin Connect se connectera au centre de données situé à Berlin plutôt qu’à celui de San Francisco. Toutes les grandes entreprises IT utilisent ces systèmes.

Rouvrir les services, mais pas d’un coup

Que vont faire les utilisateurs dès que les systèmes seront à nouveau opérationnels ? Se précipiter sur leur smartphone pour synchroniser leurs montres et compteurs. Avec des liens vers Strava, TrainingPeaks, Komoot, des données d’entrainement, de pas, de sommeil… La charge va être phénoménale. Donc le service ne peut pas être ouvert à tout le monde en même temps. Il faut ré-ouvrir au compte-gouttes, et étaler cette ouverture sur plusieurs heures au moins, plusieurs jours plus probablement. Il est très probable que cette réouverture se fasse en parallèle de la synchronisation des données de l’étape précédente. Lorsqu’un site est prêt, il ouvre progressivement.

Donc si les américains ont accès à Garmin Connect mais pas les européens, c’est pour cela, et il faudra encore un peu de patience.

Analyser les traces informatiques de l’attaque

En informatique, on trace les opérations réalisées sur tous les systèmes dans des fichiers de journaux appelés « logs ». Ces logs permettent de savoir qu’est-ce qui a été fait, par qui et quand sur un système. En analysant les logs de centaines voire de milliers de systèmes informatiques à travers l’entreprise (des logs des équipements de réseau, de sécurité, des systèmes de données, des applications de surveillance de systèmes…) il sera probablement possible de remonter tout ou partie du déroulement de l’attaque.

A la fin de ce processus, une analyse dite « post-mortem » de l’attaque est rédigée. De cette analyse, souvent confiée à des organismes externes, des enseignements sont tirés pour améliorer les processus internes en termes de sécurité, de sauvegarde des données et de comportements en cas de crise future.

La pression légale

Le problème, c’est que le rapport final de l’analyse post-mortem d’une telle attaque est souvent publié des semaines voire des mois après une attaque, et reste très souvent confidentiel à l’interne de la société. Or, des lois aussi bien américaines qu’européennes exigent que les entreprises annoncent ces attaques bien plus rapidement.

Aux USA, les lois de ce type de sont pas d’ordre fédérale, et j’ignore laquelle s’applique concrètement à Garmin. Mais en Europe, le RGPD (Règlement Général sur la Protection des Données) exige qu’une entreprise communique sur un incident de sécurité informatique dans les 72h. Admettons que les problèmes ont été détectés au matin du 23 juillet à 6:00 GMT, cela laisse à Garmin jusqu’à dimanche 26 au matin à 6:00 GMT pour annoncer à la CNIL ou son équivalent dans un autre pays de l’UE le type d’attaque subie et son impact.

On peut citer notamment dans le RGPD:

En cas de risque pour les personnes concernées, les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection en cas de violations de données. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, alors ces dernières doivent également en être informées.

Ainsi que:

Les Entreprises seront obligées de signaler à une autorité compétente et aux personnes concernées tout piratage de données à caractère personnel dans un délai de 72 heures au maximum, à partir de mai 2018

Pour autant, RGPD ne stipule pas explicitement que ces annonces sont de facto rendues publiques. Il n’est donc pas impossible que Garmin les communique aux services concernés, mais pas aux utilisateurs, en tout cas dans un premier temps. En ne respectant pas ces dispositions, Garmin s’expose à une sanction financière allant jusqu’à 4% de son chiffre d’affaires mondial annuel.

Des dégâts informatiques limités, mais un dégât d’image durable

Si au final il est très probable que les services de Garmin reviennent en ligne quasiment à la normale sans quasi aucune perte de données, le dégât d’image sera important, et on parlera longtemps de cet incident dans le petit milieu du sport connecté. Si les équipes informatiques de Garmin sont vraisemblablement à pied d’œuvre, les équipes de communication sont aphones. Mais ce silence n’est jamais une bonne stratégie, c’est ce qu’apprendra Garmin dans le rapport post-mortem général. Toutes les entreprises victimes de ce type de problèmes l’ont appris. Plutôt que de laisser ses utilisateurs dans le flou, la marque gagnerait à donner des informations sur la situation.

A plus long terme, la pression va remonter sur un mode de fonctionnement moins dépendant des services en ligne des montres et autres accessoires. La sécurité des données, et la possibilité de configurer une authentification multi-facteur sur ces plateformes en ligne deviendront des thématiques des milieux bien informés. Mais je ne m’attend pas à des changement drastiques importants suite à ce problème. En tout cas rien de visible, car certains processus internes chez Garmin vont changer, cela est certain.

Et maintenant, que vais-je faire… (de tout ce temps…) ?

Tout cela, c’est de la théorie. Mais en attendant, que faire? Sachez que vos montres ou compteurs Garmin continuent à fonctionner correctement. Il n’est manifestement pas risqué de les utiliser, et ils enregistrent correctement vos activités sportives. Si la situation devait durer plus d’une semaine, les appareils perdront leurs informations d’éphémérides A-GPS et le fonctionnement deviendra plus lent dans l’acquisition d’un signal GPS. Mais toujours pas de problème de fonctionnement.

Simplement, les données d’entrainement seront stockées dans la mémoire de l’appareil mais plus synchronisées en ligne. Il faudra passer par une procédure manuelle pour les récupérer depuis un ordinateur, et les charger dans Strava, TrainingPeaks, Stryd Powercenter ou d’autres services pour les analyser. Voici la procédure à suivre en vidéo:

La mémoire de la plupart des appareils Garmin permet de stocker un historique très important (de 1 mois à 1 an en général). Donc pas de problème pour l’utiliser hors ligne durant quelques jours. Les parcours GPX issus de sites tiers (Strava, Komoot, Openrunner par exemple) pourront également être chargés dans les répertoires « New Files » ou « Courses » de l’appareil Garmin pour suivre un itinéraire.

Pour conclure

Cet incident aura mis en lumière la dépendance non seulement technique mais aussi affective à notre environnement sportif connecté. Certains sportifs ayant ouvertement annoncé reporter leurs séances d’entrainement à plus tard puisque les services en lignes ne sont plus disponible. Chacun a sa propre relation au sport et aux outils technologiques. Un peu à l’instar de la crise sanitaire mondiale de cette année, certes dans une mensure infiniment moindre, cet épisode aura simplement eu le mérite de mettre en lumière une vulnérabilité que l’on pensait disparue, et qui nous met, mal à l’aise, devant une nouvelle situation de faiblesse…

La discussion continue

Pour rester informé au plus près de l'actu du site et du marché:

Le podcast: Des épisodes de 30-40 minutes sur des thématiques de fond, sur l'entrainement, la technologie, l'alimentation ou bien d'autres sujets encore. A écouter sans modération!
Le compte Twitter: Actu, tendances, nouveautés, rumeurs, avis. Pour vivre l'actu du sport connecté au quotidien!
La page Facebook. Evenements, concours, actualité, bons plans. Chaque jour, la page Facebook de nakan.ch compte un peu plus de fans. Rejoins-là toi aussi!
La chaîne Youtube pour retrouver présentations, tutos, reportages ou interviews.
Le compte Instagram. L'actu du site et de ses coulisses en photos! Ne manque pas les stories pour être le premier informé des nouveautés ;-)

Supporter ce site pour de futurs articles

Vous souhaitez acquérir le produit testé dans cet article? Cet article vous a été utile? Vous pouvez aider le site en l'achetant via l'un des liens partenaires ci-dessous. Vous pouvez utiliser les liens suivants pour vous rendre sur les sites partenaires de nakan.ch. En passant par ces liens, une petite commission est versée au site, ce qui me permet de continuer à vous offrir un contenu de qualité! Vous trouvez le détail des offres partenaires sur le comparateur. Pour tout savoir sur ma politique de publication et de publicité sur le site, rendez-vous ici!

Sur i-run.fr, profitez de 15% de remise sur les nouveautés textiles et chaussures grâce au code promo IRUN15! Les suisses profiteront de 15% de remise sur l'entier du site www.garmingps.ch grâce au code promo NAKAN (non cumulable avec d'autres offres)

i-run.fr
Alltricks France
GarminGPS.ch
Rakuten France
Amazon France
* Non cumulable avec d'autres offres

93 commentaires

  1. Bonjour, vous dites 1 mois d’activité stocké dans la montre mais sur la fiche de la VivoActive 3 c’est indiqué 7 activités chronométrées.
    Elle peut donc en garder plus?

    1. En fait c’est une question d’espace de stockage, qui depend des modeles de montre, ensuite ça va dependre de tes activitées, deux heures de course vélo avec capteur de puissance, cadence…… prendront beaucoup plus de place que une petite CAP, je pense qu’il donne un nombre sans ce mouiller
      Apres, si tu arrive au bout de la memoire de ta montre et peut sauvegarder les fit (voir la vidéo) et tu les rechagera a la main dans garmin connect quand la situation sera rétablie

  2. Merci pour ces précisions..
    Je constate donc que ma vieille habitude de faire le report papier dans mes petits agendas depuis la fin des années 90 n’est finalement pas si absurde, sauf à prendre feu…
    Ceci étant, pour nous sportifs, ça reste quand même un moindre mal, faut pas abuser: contrairement au confinement, pas de limite pour s’entraîner !
    Par contre, quand est il de l’activité aéronautique de Garmin ? Beaucoup plus problématique certainement ? Y a t’il une dépendance des gps Garmin certifiés équipant les avions ?

    1. Pour ma part, lors de ma séance du jour, il m’était impossible d’enregistrer mon activité (cap de 2h) d’autant que la distance ne pouvait être calculée (sans doute un disfonctionnement GPS). Je ne suis pas le seul à avoir vécu cela, ma femme a également eu ce problème (pas de distance calculée, et activité non enregistrée donc perdue)
      Que faire dans ce cas? Perso je m’en fous, je peux continuer à m’entraîner au quotidien sans problème mais c’est agaçant !!!
      J’ai une Fenix 5 et ma femme une 935

    1. Bonjour.
      En aéronautique le GPS n’est pas utilisé comme moyen primaire de navigation. En VFR on s’en passe totalement, on peut utiliser des moyens de radionavigation VOR, NDB, etc. En IFR aussi avec en plus des procédures d’approche IFR avec éventuellement du guidage radar.
      Franck

      1. Justement, en navigation de surface (RNAV), l’utilisation du GPS peut être le seul moyen utilisé ;
        Par contre, je ne connais pas les systèmes bord utilisés, et les sources datas ; je crois que les données ne dépendent pas de Garmin. Un Garmin G1000 peut être utilisé en navigation et en approche, sachant que l’approche est obligatoirement GNSS.

      2. Bonjour,

        Je l’impression que le virus se propagé dans la montre avec la dernière synchronisation avec la fermeture des services. Plusieurs utilisateurs, moi compris, décrivent l’impossibilité de enregistrer une activité avec la montre qui reste en mode enregistrement en cours.
        C’est probablement n’est pas résolu depuis la réouverture de la synchronisation avec les serveurs.

      3. Hello, j’ai aussi une montre Garmin depuis plusieures années. Et personnellement, avoir les données sur mon laptop ça m’allait très bien!
        Est ce que tu sais si il existe une application actuellement qui permette de stocker des datas en local?

  3. Merci pour l’article.
    Désolé de faire mon casse pied, mais dans l’article, il faudrait changer tous les « hors » par des « or »:
    – Hors = en dehors
    – Or = mais

    Bonne soirée

    1. Les services d’urgence après un appel SOS sont sous-traités chez GEOS, donc cela n’est pas impacté. Par contre, les services de gestion d’abonnement, de gestion des contacts et autres au travers de la plateforme Explore de Garmin, c’est inaccessible.

      Sportivement.
      Greg

  4. Je suis également d’accord qu’il y aura un déficit d’image. Perso si je devais changer de montre en ce moment je me tournerai probablement vers une autre marque. Allucinant l’absence de communication de leur part.

    1. Et pourtant, dans l’histoire, la montre Garmin est la moins pire car on peut toujours accéder aux fichiers sur la montre. Ce n’est le cas sur aucune autre marque de montre.

      Par contre je comprends bien la perte de confiance, et ce sera général. Chez moi aussi !

      Sportivement.
      Greg

  5. Malheureusement parfois, les sauvegardes sont également cryptées
    Il suffit de quelques failles non corrigées sur quelques systèmes et c’est le drame.
    Donc j’espère pour eux qu’ils ont des backups a froid de leur système.
    1 semaine c’est la version optimiste s’ils ont pu négocier avec le groupe de pirate pour récupérer la clé et que le chiffrage a été fait de manière correcte .. La sauvegarde a froid reste le moyen le plus sécurisé

    1. Responsable informatique d’une petite structure ayant des moyens limités nous avons été confronté à Cryptowall 4.0 pendant le confinement.
      Nous avons 3 sauvegardes différentes par jour. Certains de mes collègues trouvaient ça un peu exagéré. Bien m’en avait pris puisque sur les 3, 2 avaient été cryptées (et j’ignore encore comment il y a eu accès).
      Au final, 0 perte de données mais de la perte de temps pour moi forcément, et une belle frayeur tout de même…
      … Depuis j’ai enfin pu convaincre mon responsable de l’intérêt d’une sauvegarde à froid, chose que je demandais depuis mon arrivée… il y a 3 ans.

      1. Toujours garder des backups full sur des stockages froids hors ligne (la bonne vieille bande magnétique). Règle de base, spécialement valide depuis l’apparition de ces saletés de CryptoLockers et ses cousins… Heureux que vous ayez pu vous en sortir !

        1. Ce qui est décevant dans ce genre de situation c’est qu’on a beau demander, ça coute des sous et tout pendant que tout va bien ça n’apporte rien niveau rentabilité, performance et autre, donc trop de monde ne voient pas l’intérêt, ou ne réagissent tout simplement pas à l’importance de la chose.

          J’ai régulièrement la même chose au niveau perso. Quand des amis/famille achètent un nouveau PC, à chaque fois je leur demande de prendre quelque chose pour la sauvegarde. 80% du temps ça n’est pas fait, je me suis battu pendant des années et maintenant je laisse tomber et j’attends… Généralement dans les 2-3 ans à venir j’ai un appel au secours avec des données perdues… Et maintenant je rigole, ce n’est pas comme si j’avais prévenu X fois.

    2. Il n’y a aucune chance qu’ils négocient quoi que ce soit avec les pirates. Ils ne peuvent compter que sur leurs sauvegardes. Car si le moindre cent est lâché, les lois américaines de financement du terrorisme s’appliquent et Garmin fermera boutique.

    3. Super l’article ! Merci de tes éclaircissements qui auraient dû nous être fourni par Garmin même. Mais bon, sachez que dans les grandes boîtes comme ça, quand il y a le ‘feu’, il y a une partie spécialisée du personnel qui bosse comme des dingues pour réparer et qui, de fait, n’a pas le temps de communiquer vers l’extérieur. Et il y a beaucoup d’autres employés qui se les tournent et qui, comme nous, attendent que la bécane redémarre. La communication fait certainement partie de ceux qui ‘attendent’.

    1. Comme répondu plus bas, paradoxalement, très peu de risque sur Garmin Pay. Car les données sensibles sont dans un chip cryptographique direcement dans ta montre. Sur la plate-forme connect, il ne doit y avoir que quelques informations comme l’id du token de ta carte dématérialisée dans ta montre (inutilisable tout seul pour un pirate) et probablement l’identification de la banque émettrice de la carte, qui pourrait être la seule donnée sensible exploitable.

      Par contre, comme les sites web de boutique en ligne de Garmin ont aussi été touchés, des données de cartes bancaires de clients des boutiques en ligne pourraient être concernées.

      Sportivement.
      Greg

      1. Bonjour.
        Tout d’abord, merci pour la qualité des articles, un site tout simplement formidable.
        Ce matin, sur ma Fenix 6, même le gps ne fonctionne plus… l’altimètre est passé en négatif . Dommage moi qui pensez redoubler d’effort pendant ma semaine de vacances. Ça tombe mal…

        1. Je suis comme vous, je serais démotivé mais… Enfin l’occasion de courir sans montre et gadgets juste piur pour le plaisir… Peut être noter l’heure, endroit, durée et distance/dénivelé (au pif) sur un beau cahier ?

  6. Excellent ton article,
    Toutefois, je m’alerte d’une fonction que j’utilise souvent avec ma montre, c’est le paiement sans contact.
    Crois tu qu’il y a un risque ? Les données de la carte bancaire sont elles stockées par garmin ou c’est juste une passerelle avec notre banque.
    Dans le premier cas, il y a un sujet, qu’en penses-tu ?

    1. j’ai posé la meme question, techniquement tu peux toujours payer car les données sont dans la montre, (ça a marché pour moi ce matin) par contre il y a des numeros de carte qui trainnent sur leur serveur, et ça c’est pas cool…

    2. Paradoxalement, très peu de risque sur Garmin Pay. Car les données sensibles sont dans un chip cryptographique direcement dans ta montre. Sur la plate-forme connect, il ne doit y avoir que quelques informations comme l’id du token de ta carte dématérialisée dans ta montre (inutilisable tout seul pour un pirate) et probablement l’identification de la banque émettrice de la carte, qui pourrait être la seule donnée sensible exploitable.

      Par contre, comme les sites web de boutique en ligne de Garmin ont aussi été touchés, des données de cartes bancaires de clients des boutiques en ligne pourraient être concernées.

      Sportivement.
      Greg

  7. Bonjour,

    Excellente analyse à laquelle je souscris à 100%. Eh oui, les faiblesses du système cloud, contre lequel bon nombre d’entre nous mettent en garde les internautes depuis sa généralisation…

    En effet il y avait au départ Garmin Training, à l’aspect certes un peu brut mais qui avait l’IMMENSE avantage de garantir une récupération locale des données. Désormais ces données hébergées ne sont quasi plus exportables de manière pratique. (je passe sur le pitoyable export csv qui non seulement donne un fichier aux champs complètement pourris mais en plus nécessite une exportation page web par page web des entrainements : autant dire que ce n’est pas exploitable). A croire que Garmin n’a pas les moyens de s’offrir des ingénieurs IT dignes de ce nom…

    Cela fait des années que je réclame à Garmin une possibilité d’exportation des entrainements stockés sur leur cloud ! Pas un truc compliqué, un pdf par exemple pour garder au moins une trace en local. Aucune réponse ; et quand je les ai au téléphone, on me répond que Garmin France n’a absolument AUCUN pouvoir sur le développement de la plate-forme Garmin Connect, qui est l’apanage de Garmin US.

    Alors, au-delà de l’éventuelle exploitation de nos données par des pirates parce que Garmin n’aura pas été fichu de les protéger correctement, Garmin va-t-il être en mesure de les remettre en services les comptes utilisateurs et les données qui y sont rattachées ou sont-elles perdues ?

    Souhaitons que le situation se rétablisse de manière positive et ensuite nous devrons d’emblée tous exiger de Garmin qu’ils mettent en place immédiatement un dispositif de secours permettant à chacun de récupérer ses données proprement depuis le cloud. Au prix où ils vendent leurs produits, c’est bien le minimum, non ?

    1. Merci pour cet article très intéressant.
      J’ai une question : déboussolé par l’interruption des services de Garmin , je me suis dit qu’il fallait peut-être faire une mise à jour. Ça n’a rien changé….Toujours pas d’accès au serveur….Alors j’ai supprimé l’App Garmin et je l’ai rechargée depuis Appstore. Toujours pas d’accès au serveur……Mais avec cette opération, ai-je perdu toutes mes données ou puis-je espérer les retrouver si Garmin redémarre sans perte de données de son côté ? J’ai une montre Garmin 245 depuis 7 mois.
      Merci d’ avance pour la réponse .
      Marc

    2. Je me demande si nous ne devrions pas en profiter pour faire une pétition et exiger de Garmin que connect fonctionne avec toutes les fonctionnalités non sociales (analyse de course, entraînements, cartographie, ….) sans avoir besoin d’un compte en ligne.

      Je pense à OMRON qui pour ses appareils de mesure de la tension propose une appli qui ne stocke que sur le téléphone les mesures. Un cloud pour des copies de sécurité est proposé mais pas obligatoire. Ca c’est du respect de la sphère privée!

    3. alors si tu as synchronisé Strava avec ton compte Garmin, il y a quelque part sur ton profil strava une fonction d’export. je n’ai pas remis la main dessus mais ça te crée un fichier zip avec toutes tes activités, tes club, tes photos, ton matériels, tes itinéraires… bref tout!

  8. Dans cette histoire, au-delà du choix d’une architecture logicielle qui rend les applications absolument dépendantes des serveurs, alors même que des synchronisations partielles sont réalisables, c’est la communication de Garmin qui est condamnable. C’est le black-out depuis 72h (les premiers signes de perturbations pour moi). Aucune communication officielle pour donner aux utilisateurs des moyens de contournements (exports manuels etc…). Les accidents arrivent, c’est la façon dont on les gère qui fait d’une marque quelque chose qui reste. En l’occurence Garmin ne semble pas prendre le bon chemin.

    1. Oui je l’ai noté le problème de communication, mais je n’ai pas appuyé dessus. Il manque de la transparence, clairement… Ca aggrave le dégât d’image et ça écorne sérieusement la confiance.

      1. est-ce que le FBI (ou autre agence américaines) leur ont demandé de ne pas communiquer ? ceci afin que des enquêtes puissent avancer ? (je regarde peut-être trop de séries tv mais si Garmin ne communique pas, peut-être qu’ils y sont contraints)

      1. . Merci pour l’article. Mais depuis ce matin c’est aussi ma montre qui bugue. Elle n’affiche plus la distance et n’enregistre plus l’activité.

        1. Bonjour Nathan, j’ai le même problème, c’est d’ailleurs étonnant comme bug. Car plus de distance, plus de vitesse moyenne, mais j’ai toujours la vitesse instantanée , je cours var une ceinture HRM j’ai donc le running dynamique avec la longueur de mes pas qui fonctionne. Le tracé de la course fonctionne aussi.
          Impossible de sauvegarder, après reboot de la montre, l’activité n’est pas la, mais la charge d’entraînement est bien la, il y a aussi l’historique de fréquence cardiaque.

          1. J’avais le même problème hier, j’ai réinitialisé ma montre et je pouvais à nouveau enregistrer les activités.

            Conséquence:
            1) on perd toutes les données d’entraînement (charge, VO2max, records personnels…)
            2) la configuration des applications téléchargées est perdue (mais elles sont encore installées). Impossible de les reconfigurer, la configuration par défaut est utilisée.
            3) On perd la connexion avec garmin connect. Donc, certains widgets deviennent inutilisable (comme pour la météo et autre services en ligne)

            Mais:
            1) les activités ne sont pas effacées ainsi que les .mp3
            2) On peut à nouveau enregistrer des activités.

            Les problèmes de 1) à 3) devraient être résolu dès qu’une synchronisation sera à nouveau possible.

            Sur ma montre: Menu->Système->Réinitialiser->Réinit. param. par défaut

  9. Super article, merci pour votre explication et votre analyse du problème Garmin. Si seulement Garmin avait le courage de communiquer et d’informer un minimum ses utilisateurs… Je suis extrêmement déçu par leur façon de gérer cette crise.

  10. Merci Greg pour cet article clair et précis.
    Il va me permettre de patienter encore quelques jours jusqu’à récupération de mes données mises en ligne…
    Bon dimanche à tous

  11. Merci pour les infos excellent article.

    Heureusement j’ai lié mon compte garmin à Strava et Komoot pour ma part mes anciennes données sont sauvées. J’espère pour nous et pour eux que les dégâts ne sont quand même pas trop importants.

    Pour le reste ma Forerunner 245 fonctionne sans problème et même sans elle j’ai toujours mon GPS qui n’est pas de la marque Garmin. Rien n’empêche de continuer notre passion.

  12. Article très bien traité comme à l’accoutumé. Le titre un peu provocateur car à mon sens une catastrophe, c’est Tchernobyl, Fukushima, La fonte des glaces libérant des millions de tonnes de méthane et j’en passe. Là il s’agira peut-être d’une prise de conscience collective que le tout dématérialisé et l’utilisation massive des clouds en pensant que nos données sont gérées par des professionnels, c’est une idiotie. Toutes les sociétés migrent massivement sur des solutions cloud. Ces société n’ont qu’un seul objectif, réduire leurs coûts ‘exploitation de data centers et certainement pas la protection des données personnelles. Les moyens mis en place pour assurer cette protection des données ne sont jamais à la hauteur des enjeux pour le client. La plupart de ces clouds ont leur serveurs stockés dans des régions du monde où la loi du pays ne protège en rien les données! Oui il y a aussi tous ces aspects juridiques à garder à l’esprit. Alors quand mes données Garmin sont stockées sur des serveurs que je ne contrôle pas, je dois m’attendre à ce qu’elles fuient. Mon vrai nom sur ces serveurs? NON!, une adresse mail m’identifiant: NON! (un alias). Des données personnelles (réduites au strict minimum). On attend trop souvent je n’ai rien à cacher. Mais quand on a son nom, son prénom, son adresse mail et sa position géographique de là où l’on vit, et ensuite ses habitudes qui sont tracées, il faut aussi rester prudent et penser que ces informations ne nous appartiennent plus! Alors si la panne Garmin pouvait faire prendre conscience à ses utilisateurs que les clouds ne sont pas la panacée et qu’il faut aussi un peu de responsabilité de notre côté, c’est une bonne chose. Oui je suis un utilisateur Garmin et mon métier c’est la gestion des risques et des sécurités dans des flux d’informations. Alors j’invite tout le monde à se rappeler d’une seule règle: ce qui est mis sur internet ne nous appartient plus! Et sachez aussi que de nombreuses sociétés stockent encore vos mots de passe en clair et vos données bancaires. Une honte! Et si on ne peut plus synchroniser nos exercices pendant un moment, et bien on revient à l’essentiel, on fait du sport pour notre bien être et une panne informatique ne nous arrête en rien pour continuer à nous entraîner!

    1. Merci bcp pour la qualité de l’article et pour les réponses apportées à certains d’entre nous spécialisés en informatique. Pour un non initié comme moi je n’ai pas tout saisi dans les réponses techniques mais cela paraissait convaincre les intervenants.
      Autre point il me paraît plus sympa de ne pas attendre un rabais quelconque sur notre cotisation annuelle !! Ils subissent, nous avec mais mais c’est plutôt ceux qui les »massacrent » qui devraient être critiqués !! Après la CO peut toujours être défaillante à cette échelle là. Et Greg est en joie de tout nous expliquer… Donc.. Merci Greg

  13. Pour sauver vos séances pas problèmes car il y a un truc tout simple !!! : créer un compte sur le site ENDOMONDO.com puis branchez votre montre en USB et faite ajouter une scéance sur le site et aller chercher le fichier dans l’arborescence sur la montre et voilà fichier sauvegardé que vous pourrez copier pour le mettre sur Garmin une fois le retour à la normal

  14. J’invite toutes les personnes ici à changer leur mot de passe le plus tôt possible car même si les mots de passe sont chiffrés certains peuvent être décryptés car trop triviaux. Ensuite n’utilisez un mot de passe différent par site et utilisez un gestionnaire de mots de passe pour les stoker.

    Pour finir, j’ai décidé de réclamer la copie de mes données stockées sur garmin connect et de passer par mon avocat s’ils traînent. Cela permet d’avoir une vision plus claire de ce qui a pu être dérobé.

    1. Perso j’ai du mal avec les gestionnaires de mots de passe qui eux aussi (pour ceux que j’ai pu tester) fonctionnent aussi sur le principe du cloud… ce dont on dit ici-même que ça pose problème justement. ;)
      Après, je suis peut-être vieux jeu (oui, vous pouvez le dire :))

      1. Je te conseille d’aller voir du côté de keepass, c’est plus ou moins un standard dont beaucoup de produits open source et gratuit existent (https://www.keepassdx.com/ , https://keepassxc.org/ , …)
        Le principe est de tout stocker dans un fichier chiffré par un mot de passe. Ce qui fait que même volé les mots de passe sont protégés.
        Ensuite, il faut s’arranger pour ne jamais perdre le fichier, soit le mettre sur un cloud (avec les risques de se le faire voler) ou de faire des copies de sécurité régulières. Pour ma part, je le mets sur mon cloud propre et fait des copies journalières de sécurité. Mais, ca nécessite des compétences que peu de personnes ont.

        D’ailleurs, un peu vieux… il y a très peu de jeunes qui savent ce que c’est qu’un serveur et comment fonctionne internet, ils savent juste tapoter sur le portable… alors pas de complexes à avoir. ;)

  15. Moi je l’utilise pour pour la marche et pour la piscine etc et depuis 2 jours j’arrive pas à modifier ma journée j’espère que ça va être réparé

    1. A partir de l’application smartphone j’ai de nouveau accès à quelques trucs en effet.
      Par contre le site web Garmin Connect est pour le moment toujours HS chez moi.

      1. Merci pour cet article. Il fait réfléchir en tout cas.
        Une question me taraude l’esprit. Est ce que les cloud tel que Apple ou Microsoft sont tout aussi vulnérables ou existe-t-il différent niveaux de sécurité. Ma question est peut être naïve mais je suis une bille en informatique est utilise largement ces cloud.

        1. Il existe de très nombreux niveaux de sécurité oui, que ça soit au niveau purement informatique, mais aussi électrique.
          Aucun système n’est par contre infaillible. :)

          Et au delà de la sécurité il y a aussi les « conditions d’utilisation » auxquelles il faut faire attention. Le cloud c’est très pratique pour de nombreuses choses, mais une fois dessus, qu’est-ce qui est fait avec vos données?

  16. Garmin reprend son service en effet : sur le site et via Garmin Express. Y’a tjrs les messages d’erreur sur smartphone mais ça fonctionne tout de même.
    La synchro des activités reprend.
    Ouf ! :o)

        1. Meme soucis encore pour moi ce matin sur la fenix 6. Pas d’enregistrement de la position GPS lors de mon jogging et blocage de la montre en mode enregistrement en cours… l’application Garmin sur le smartphone indique toujours panne en cours… ca n’a pas l’air d’aller beaucoup mieux… illustration de la loi de Murphy ?

            1. Merci Rednick. Durant la panne Garmin Connect, j’avais fait une sauvegarde manuelle, locale de mes nouvelles activités à l’aide de l’application Garmin Basecamp sur le PC. Puis, j’avais effacé toutes les données sur les menus de la montre. Malheureusement, le problème s’était manifesté à nouveau mardi. Grâce à ce tuto, ca semble fonctionner de nouveau. Même si c’est difficile à saisir, ce souci de perte de la distance lors de l’activité, semble quand même corrélé avec la panne d’accès à Garmin. Je tire une autre leçon de cette « catastrophe », je sauvegarde aussi mes activités localement dans un format courant pour en rester quand même maître. Ca peut aussi être utile en cas de migration vers un autre service proposant des analyses stats de vos données sportives.

              1. La perte du GPS me semble aussi liée au problème de Garmin car les 2 bugs sont parfaitement concomitant. Perte des infos de localisation des satellites ?

                C’est une sage précaution de garder des versions .gpx (ou autre). Moi, j’envoie automatiquement tout sur Strava. Je peux y récupérer mes activités au cas où…
                Garmin Basecamp permet de tout récupérer en une seule fois ? Auquel cas une sauvegarde par mois pourrait être une bonne idée…

        2. J’ai vu ça aussi hier soir où j’avais un entrainement programmé bien présent sur l’application, mais qui n’est jamais passé sur la montre…

          … J’espère que cet épisode va faire prendre quelques décisions importantes à Garmin sur le connecté à outrance car avoir un entrainement sur le smartphone et ne pouvoir le passer sur la montre, je ne vois pas où on a besoin d’un service connecté supplémentaire chez eux, je pensais vraiment que c’était 100% Bluetooth…
          Qu’il y ait des services connectés c’est très bien, mais le fait que l’agenda de l’application n’ait visiblement rien en local ce n’est pas normal. Plus d’accès chez Garmin, on n’a plus rien du tout…

  17. je viens de lire sur le site cyberguerre que Garmin a en fait payé la rançon.
    Si l’info s’avere confirmé, l’entreprise risque d’avoir un 2eme effet, celui du consommateur…

    1. Bonjour Benoit,

      Je lis beaucoup de réactions sur cet article (celui de numérama) qui est pour moi totalement vide. Ils ont une info comme quoi ils ont eu la clef de déchiffrement, comment l’ont-il eu ? nous ne le savons pas.
      Il peut s’agir d’une erreur des attaquants qui aurait laissé des traces.
      Il peut s’agir d’un prestataire qui aurait aidé Garmin, qui a réussi a trouvé la clefs.
      Garmin c’est probablement rapprocher des autorités américaines, plusieurs choses peuvent ce passé, les attaquants ont peut être attaqué eux-mêmes afin de récupérer la clef.
      Peut être que la rançon a été payée dans le but de la tracer les attaquants et au final récupérer l’argent.
      Cet article avance que l’attaquant a pu laisser des choses pour de nouveau attaquer, c’est la même chose de supposer que cette attaquante a des choses dormantes chez n’importe qui.
      Comme le dit Greg tout, les informations seront dans le post mortem qui ne sera pas rendu public.

      En continuant sur les suppositions il a été écrit que ce ransonware s’attaque aux sauvegardes, comme l ‘écrit Greg il est important d’avoir des sauvegardes froides, la réalité de ce que je vois c’est que depuis 10 à 15 ans cette pratique disparaît. Les sauvegardes en ligne sur des disques avec des systèmes de déduplications sont devenues bien plus compétitives, mais si ces systèmes sont perdus bien des entreprises seraient d’en l’obligation de trouver une méthode pour déchiffrer les données.
      Mais nous ne savons pas si Garmin a des sauvegardes à froid.

      Je ne vois pas comment sans information nous pourrions jeter la pierre à Garmin

  18. Bonjour,

    Oui, cela remarche progressivement sauf la synchronisation automatique bluetooth ou wifi ; et problème aussi dans mon cas pour Garmin Express qui détecte la montre mais qui indique lorsque l’on veut accéder aux paramètres « Problème de communication avec nos serveurs ». Garmin Express refonctionnait au début pourtant… Vous avez ça aussi ? Or j’ai besoin de Garmin Express pour remettre en français mes menus qui se sont tous mis subitement en anglais !

    Sinon j’avais réclamé à Garmin il y a quinze jours l’ensemble de mes données stockées sur Garmin Connect. Je viens de recevoir le zip qui en effet contient l’historique des fichiers *.fit. Attention, c’est un foutoir sans nom : il faut aller dans le répertoire DI-CONNECT puis « DI-Connect-Fitness-Uploaded-Files » et ouvrir les différents sous-répertoires qui contiennent les fichiers *.fit.

    1. Pas de souci pour moi depuis plusieurs jours maintenant, tout se synchronise bien comme il faut, de mon côté tout est revenu à la normale.

      Très bien pour avoir récupéré vos données avec votre demande chez Garmin, ils n’ont pas mis très longtemps à vous envoyer tous ces fichiers!

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.