Recherche Kunena

Mot-clé

Les services web Garmin sont en panne

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164919 par gillesF78
www.matosvelo.fr/index.php?post/3145/les-service...-suite-a-une-attaque

Garmin reste discret sur les raisons de cette panne d’envergure déguisée en maintenance. Mais selon les indiscrétions des employés de la marque, celle-ci subit actuellement une attaque du rançongiciel nommé WastedLocker.


Quelle bande de branquignols :lol:

Région Grenobloise, GillesF78
Dernière édition: il y a 4 ans 3 mois par gillesF78.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11549
  • Remerciements reçus 1304
il y a 4 ans 3 mois #164920 par albator83
Ca peut arriver à n'importe quel S.I. ; chez nous aussi certains utilisateurs peu avertis ont déjà verrouillé des données ainsi en ouvrant un mail "suspect" sans faire gaffe, c'est vite arrivé.
Et dans ce cas-là une seule solution : restaurer les données verrouillées.
Manifestement chez Garmin le mal est de plus grande ampleur, sinon le service serait déjà reparti depuis un moment (ex : ça sert à rien de tout restaurer si le virus continue de "vivre" dans l'infrastructure et re-verrouiller au fur et à mesure :whistle: ).
Les utilisateur(s) suivant ont remercié: jfd_

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois #164921 par gillesF78
Le système d'information des services aux utilisateurs Garmin devrait être déconnecté de ceux de la R&D / intranet / etc de l'entreprise.
Le fait qu'un ingénieur ou un personnel administratif ouvre un mail vérolé devrait uniquement avoir un impact sur le SI interne à l'entreprise.

:wonder:

Région Grenobloise, GillesF78

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11156
  • Remerciements reçus 1239
il y a 4 ans 3 mois #164923 par jfd_
Réponse de jfd_ sur le sujet Les services web Garmin sont en panne
On sait tous que par principe, tu n'aimes pas Garmin. :lol: Mais ne trouves-tu pas que tu y vas un peu fort quand même, non? :petard:

Rodolphe a tout à fait raison :yaisse: , cela peut arriver à n'importe qui, quelles que soient les organisations structurelles sur lesquelles reposent les différentes couches de l'IT d'une entreprise. Et de toute manière, quand on voit en frontal ce qui tombe sur le coin de la figure sur un vulgaire petit serveur comme celui de VO², sur une boite aussi exposée que Garmin, je n'ose imaginer :whistle: Et du coup, pour absolument tout verrouiller de manière sûre, ben, cela relève du quasi impossible.

Après, au delà de fournir des solutions manuelles de contournement du problème pour ceux qui ne sont pas habitués à cela (ce sera utile à certains, n'en doutons pas), il m’apparait que l'article du père Jean Guy est aussi pourvoyeur de supputations/hypothèses qui à ce jour ne sont que cela au vu de sa vision (quand il ne se contredit pas pour partie d'un paragraphe à l'autre). Un peu dommage... :wonder:

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164925 par gillesF78
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)

Région Grenobloise, GillesF78
Dernière édition: il y a 4 ans 3 mois par gillesF78.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 4020
  • Remerciements reçus 751
il y a 4 ans 3 mois #164926 par teamdindon

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.


Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)


J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.
Les utilisateur(s) suivant ont remercié: albator83

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 4020
  • Remerciements reçus 751
il y a 4 ans 3 mois #164927 par teamdindon
Analyse / point de vue plutôt bien développée :
www.nakan.ch/wp/2020/07/24/indisponibilite-de-ga...nt3fBo0_WbvzB9Beqkzc
Les utilisateur(s) suivant ont remercié: jfd_, stam, albator83

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11549
  • Remerciements reçus 1304
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164928 par albator83
Article intéressant, j'y retrouve quelques piliers que l'on tente de mettre en place chez nous (certification ISO 27001, toussa).

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.


Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)


J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.


+1 : je suis largement plus inquiet avec ce qui circule côté sécu, mutuelle, banque, edf/gdf... que ce que j'ai chez Garmin ou Strava.
à part mon poids, mes watts et mes sorties ils n'ont rien... et si c'est exposé au vu de tous je m'en fous : idem pour Facebook, Instagram, Twitter, etc. on y colle ses données en connaissance de cause (si elles ne sont pas piratées, elles sont vendues légalement au plus offrant : ça fait partie des CGV), à moins d'une grande naïveté :whistle:

Au passage Gilles je pense que tu serais surpris de la (non) sécurité des systèmes informatiques nationaux tels que écoles, universités, etc.
Dernière édition: il y a 4 ans 3 mois par albator83.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11549
  • Remerciements reçus 1304
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164930 par albator83

Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)


Bah vi, l'informatique n'est pas infaillible... et ne le sera jamais.
Après chacun ses choix...

PS : je réalise que tu utilises Gmail comme boîte mail... là niveau confidentialité/protection des données personnelles c'est bien pire que Garmin, j'espère que t'es au courant :whistle:
Et eux non plus ne sont pas l'abri d'une panne d'envergure mondiale.
Dernière édition: il y a 4 ans 3 mois par albator83.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois #164944 par gillesF78
Il y en a qui ne manquent pas d'humour :lol:



Source : www.reddit.com/r/Garmin/comments/hx0ree/i_think_...wrong_with_my_watch/

Région Grenobloise, GillesF78
Pièces jointes :
Les utilisateur(s) suivant ont remercié: jfd_

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 472
  • Remerciements reçus 33
il y a 4 ans 3 mois #164948 par zero_janvier
Il y a déjà eu de nombreuses victimes de ce type d'attaques. Y compris dans des domaines bien plus sensibles que le sport !

www.zdnet.fr/actualites/chu-de-rouen-un-ransomwa...attaque-39894213.htm

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 4020
  • Remerciements reçus 751
il y a 4 ans 3 mois #164951 par teamdindon
Ça m'a l'air de repartir gentiment. J'ai réussi à synchroniser mon activité vélotaf de ce matin.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164968 par gillesF78
Plusieurs personnes avaient identifié les failles de sécurité Bluetooth sur des bracelets connectés :

For example, by using a Trojan-Ransom the fraudster could take control of your wristband, make it vibrate constantly and demand money to make it stop.

Source : securelist.com/how-i-hacked-my-smart-bracelet/69369/

Voici un tableau d'un ancien article qui évalue les mesures de protections de 9 bracelets connectés (vert = OK, rouge = Pas bien) :



Source : www.av-test.org/fileadmin/pdf/avtest_2015-06_fit..._tracker_english.pdf

Le bracelet garmin Vivosmart est relativement mal protégé, et il est susceptible de se faire pirater par bluetooth.

Autre méthode de piratage : "man in the middle" entre l'application et le server Garmin Connect, parce que les applications Android et iOS de Garmin connect n'utilisent (ou n'utilisaient?) pas HTTPS, sauf pendant la phase de création du compte

2.6.1 GARMIN CONNECT
The Garmin Connect Android and iOS applications did not use HTTPS for routine data transmission,
such as fitness event logging, downloading daily fitness summaries, and the modification
of privacy settings. Consequently all fitness data transmitted using the company’s mobile
applications could be monitored by a third party that stands between the consumer’s mobile
device and Garmin’s servers; this is referred to conducting a ‘man-in-the-middle’ (MITM) attack.
Garmin’s fitness data transmissions typically included the end user’s ‘userid‘ in the transmission
payload, which makes it very simple to identify and profile the captured data. The only
instance where we observed HTTPS being employed by Garmin Connect was during the account
creation and user login and log out processes. Securing the login and log out processes
helps protect accounts from being fully taken over (i.e by stealing passwords) but does not help
against surveillance of routine fitness data transmissions.

Source : A. Hilts, C. Parsons, and J. R. Knockel, “Every step you fake: A comparative
analysis of fitness tracker privacy and security,” Open Effect, Canada, Rep., Apr. 2016. openeffect.ca/reports/Every_Step_You_Fake.pdf

Ces faiblesses ne sont pas l'exclusivité de Garmin :

Furthermore, the analysis in [79] shows that, in most cases,
fitness tracking applications transmit every logged event over
the Internet, and in some cases, it is even unclear why such
transmissions are occurring. This allows an attacker to perform
data analysis on the amount of exchanged data. On top
of that, the authors found that Garmin devices do not use an
encrypted protocol to transmit data between the mobile device
and the Garmin servers, except during the account creation
phase. By exploiting this vulnerability, a man-in-the-middle
attack is able to capture e-mail addresses and session identifiers,
which are transmitted in clear-text.

Source :
F. Meneghello, M. Calore, D. Zucchetto, M. Polese and A. Zanella, "IoT: Internet of Threats? A Survey of Practical Security Vulnerabilities in Real IoT Devices," in IEEE Internet of Things Journal, vol. 6, no. 5, pp. 8182-8201, Oct. 2019, doi: 10.1109/JIOT.2019.2935189.
lien web : ieeexplore.ieee.org/document/8796409

Il y a des chances que les compteurs de vélo soient aussi mal protégés que les bracelets d'activités.

Les ceintures cardio Polar sont aussi vulnérables aux attaques par bluetooth :

Cybersecurity Assessment of the Polar
Bluetooth Low Energy Heart-Rate Sensor...

The case-study shows that an attacker can easily intercept and manipulate the data transmitted between the mobile app and the BLE device. With this research, the author would raise awareness about the security of the heart-rate information that we can receive from our wireless body sensors.

Source :
Soderi S. (2019) Cybersecurity Assessment of the Polar Bluetooth Low Energy Heart-Rate Sensor. In: Mucchi L., Hämäläinen M., Jayousi S., Morosi S. (eds) Body Area Networks: Smart IoT and Big Data for Intelligent Health Management. BODYNETS 2019. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol 297. Springer, Cham
lien web : rdcu.be/b5RXA

Si certains ont du temps pour tester les protections des compteurs Sigma, Wahoo,je suis preneur :tss:

Bref, j'espère que les fabricants d'objets connectés vont corriger ces failles de sécurité qui sont bien connues pour certaines.

Région Grenobloise, GillesF78
Pièces jointes :
Dernière édition: il y a 4 ans 3 mois par gillesF78.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 1059
  • Remerciements reçus 169
il y a 4 ans 3 mois #164970 par david38
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

Région Grenobloise

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11549
  • Remerciements reçus 1304
il y a 4 ans 3 mois #164971 par albator83
Tout dépend de la portée effective de l'appareil BT connecté (et du "récepteur" du hackeur potentiel).
Suivant les conditions ça peut être plusieurs mètres facile.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois #164972 par gillesF78

Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?


50 mètres en théorie, mais c'est un peu moins en pratique.

Région Grenobloise, GillesF78

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois #164973 par gillesF78
Celle là est pas mal non plus : une montre connectée sensée permettre aux parents de surveiller leur enfant transmettait les informations personnelles des enfants et des parents aux pirates :
www.iot-tests.org/2019/11/product-warning-chines...s-of-childrens-data/

Un pirate qui connait les trajets quotidiens de l'enfant, l'adresse postale, email des parents pourrait faire beaucoup de mal.

Région Grenobloise, GillesF78

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 1059
  • Remerciements reçus 169
il y a 4 ans 3 mois #164977 par david38

Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?


50 mètres en théorie, mais c'est un peu moins en pratique.


Donc en pratique le risque de se faire piraté est là mais la probabilité que ça arrive est faible... Ou alors on a vexé un hacker?

Région Grenobloise

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 7030
  • Remerciements reçus 1809
il y a 4 ans 3 mois - il y a 4 ans 3 mois #164979 par gillesF78
Mais non, tu ne crains rien.

Aie confiance...


Région Grenobloise, GillesF78
Dernière édition: il y a 4 ans 3 mois par gillesF78.

Connexion ou Créer un compte pour participer à la conversation.

  • Messages : 11156
  • Remerciements reçus 1239
il y a 4 ans 3 mois #164996 par jfd_
Réponse de jfd_ sur le sujet Les services web Garmin sont en panne
L'assureur MMA est dans la même situation depuis le 17 juillet pour une attaque en tous points similaire.

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.167 secondes
Propulsé par Kunena