Les services web Garmin sont en panne

www.matosvelo.fr/index.php?post/3145/les-service...-suite-a-une-attaque

Garmin reste discret sur les raisons de cette panne d’envergure déguisée en maintenance. Mais selon les indiscrétions des employés de la marque, celle-ci subit actuellement une attaque du rançongiciel nommé WastedLocker.

Quelle bande de branquignols

Ca peut arriver à n'importe quel S.I. ; chez nous aussi certains utilisateurs peu avertis ont déjà verrouillé des données ainsi en ouvrant un mail "suspect" sans faire gaffe, c'est vite arrivé.
Et dans ce cas-là une seule solution : restaurer les données verrouillées.
Manifestement chez Garmin le mal est de plus grande ampleur, sinon le service serait déjà reparti depuis un moment (ex : ça sert à rien de tout restaurer si le virus continue de "vivre" dans l'infrastructure et re-verrouiller au fur et à mesure ).

Le système d'information des services aux utilisateurs Garmin devrait être déconnecté de ceux de la R&D / intranet / etc de l'entreprise.
Le fait qu'un ingénieur ou un personnel administratif ouvre un mail vérolé devrait uniquement avoir un impact sur le SI interne à l'entreprise.

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.

gillesF78 écrit:

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.

gillesF78 écrit:

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.

J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.

Analyse / point de vue plutôt bien développée :
www.nakan.ch/wp/2020/07/24/indisponibilite-de-ga...nt3fBo0_WbvzB9Beqkzc

Article intéressant, j'y retrouve quelques piliers que l'on tente de mettre en place chez nous (certification ISO 27001, toussa).

teamdindon écrit:

gillesF78 écrit:

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.

gillesF78 écrit:

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.

J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.

+1 : je suis largement plus inquiet avec ce qui circule côté sécu, mutuelle, banque, edf/gdf... que ce que j'ai chez Garmin ou Strava.
à part mon poids, mes watts et mes sorties ils n'ont rien... et si c'est exposé au vu de tous je m'en fous : idem pour Facebook, Instagram, Twitter, etc. on y colle ses données en connaissance de cause (si elles ne sont pas piratées, elles sont vendues légalement au plus offrant : ça fait partie des CGV), à moins d'une grande naïveté

Au passage Gilles je pense que tu serais surpris de la (non) sécurité des systèmes informatiques nationaux tels que écoles, universités, etc.

gillesF78 écrit:

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.

Bah vi, l'informatique n'est pas infaillible... et ne le sera jamais.
Après chacun ses choix...

PS : je réalise que tu utilises Gmail comme boîte mail... là niveau confidentialité/protection des données personnelles c'est bien pire que Garmin, j'espère que t'es au courant
Et eux non plus ne sont pas l'abri d'une panne d'envergure mondiale.

Il y en a qui ne manquent pas d'humour



Source : www.reddit.com/r/Garmin/comments/hx0ree/i_think_...wrong_with_my_watch/

Il y a déjà eu de nombreuses victimes de ce type d'attaques. Y compris dans des domaines bien plus sensibles que le sport !

www.zdnet.fr/actualites/chu-de-rouen-un-ransomwa...attaque-39894213.htm

Ça m'a l'air de repartir gentiment. J'ai réussi à synchroniser mon activité vélotaf de ce matin.

Plusieurs personnes avaient identifié les failles de sécurité Bluetooth sur des bracelets connectés :

For example, by using a Trojan-Ransom the fraudster could take control of your wristband, make it vibrate constantly and demand money to make it stop.

Source : securelist.com/how-i-hacked-my-smart-bracelet/69369/

Voici un tableau d'un ancien article qui évalue les mesures de protections de 9 bracelets connectés (vert = OK, rouge = Pas bien) :



Source : www.av-test.org/fileadmin/pdf/avtest_2015-06_fit..._tracker_english.pdf

Le bracelet garmin Vivosmart est relativement mal protégé, et il est susceptible de se faire pirater par bluetooth.

Autre méthode de piratage : "man in the middle" entre l'application et le server Garmin Connect, parce que les applications Android et iOS de Garmin connect n'utilisent (ou n'utilisaient?) pas HTTPS, sauf pendant la phase de création du compte

2.6.1 GARMIN CONNECT
The Garmin Connect Android and iOS applications did not use HTTPS for routine data transmission,
such as fitness event logging, downloading daily fitness summaries, and the modification
of privacy settings. Consequently all fitness data transmitted using the company’s mobile
applications could be monitored by a third party that stands between the consumer’s mobile
device and Garmin’s servers; this is referred to conducting a ‘man-in-the-middle’ (MITM) attack.
Garmin’s fitness data transmissions typically included the end user’s ‘userid‘ in the transmission
payload, which makes it very simple to identify and profile the captured data. The only
instance where we observed HTTPS being employed by Garmin Connect was during the account
creation and user login and log out processes. Securing the login and log out processes
helps protect accounts from being fully taken over (i.e by stealing passwords) but does not help
against surveillance of routine fitness data transmissions.

Source : A. Hilts, C. Parsons, and J. R. Knockel, “Every step you fake: A comparative
analysis of fitness tracker privacy and security,” Open Effect, Canada, Rep., Apr. 2016. openeffect.ca/reports/Every_Step_You_Fake.pdf

Ces faiblesses ne sont pas l'exclusivité de Garmin :

Furthermore, the analysis in [79] shows that, in most cases,
fitness tracking applications transmit every logged event over
the Internet, and in some cases, it is even unclear why such
transmissions are occurring. This allows an attacker to perform
data analysis on the amount of exchanged data. On top
of that, the authors found that Garmin devices do not use an
encrypted protocol to transmit data between the mobile device
and the Garmin servers, except during the account creation
phase. By exploiting this vulnerability, a man-in-the-middle
attack is able to capture e-mail addresses and session identifiers,
which are transmitted in clear-text.

Source :
F. Meneghello, M. Calore, D. Zucchetto, M. Polese and A. Zanella, "IoT: Internet of Threats? A Survey of Practical Security Vulnerabilities in Real IoT Devices," in IEEE Internet of Things Journal, vol. 6, no. 5, pp. 8182-8201, Oct. 2019, doi: 10.1109/JIOT.2019.2935189.
lien web : ieeexplore.ieee.org/document/8796409

Il y a des chances que les compteurs de vélo soient aussi mal protégés que les bracelets d'activités.

Les ceintures cardio Polar sont aussi vulnérables aux attaques par bluetooth :

Cybersecurity Assessment of the Polar
Bluetooth Low Energy Heart-Rate Sensor...

The case-study shows that an attacker can easily intercept and manipulate the data transmitted between the mobile app and the BLE device. With this research, the author would raise awareness about the security of the heart-rate information that we can receive from our wireless body sensors.

Source :
Soderi S. (2019) Cybersecurity Assessment of the Polar Bluetooth Low Energy Heart-Rate Sensor. In: Mucchi L., Hämäläinen M., Jayousi S., Morosi S. (eds) Body Area Networks: Smart IoT and Big Data for Intelligent Health Management. BODYNETS 2019. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol 297. Springer, Cham
lien web : rdcu.be/b5RXA

Si certains ont du temps pour tester les protections des compteurs Sigma, Wahoo,je suis preneur

Bref, j'espère que les fabricants d'objets connectés vont corriger ces failles de sécurité qui sont bien connues pour certaines.

Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

Tout dépend de la portée effective de l'appareil BT connecté (et du "récepteur" du hackeur potentiel).
Suivant les conditions ça peut être plusieurs mètres facile.

david38 écrit:

Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

50 mètres en théorie, mais c'est un peu moins en pratique.

Celle là est pas mal non plus : une montre connectée sensée permettre aux parents de surveiller leur enfant transmettait les informations personnelles des enfants et des parents aux pirates :
www.iot-tests.org/2019/11/product-warning-chines...s-of-childrens-data/

Un pirate qui connait les trajets quotidiens de l'enfant, l'adresse postale, email des parents pourrait faire beaucoup de mal.

gillesF78 écrit:

david38 écrit:

Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

50 mètres en théorie, mais c'est un peu moins en pratique.

Donc en pratique le risque de se faire piraté est là mais la probabilité que ça arrive est faible... Ou alors on a vexé un hacker?

Mais non, tu ne crains rien.

Aie confiance...