Attaque informatique de Garmin en 2020: épilogue

Quel était le montant demandé comme rançon par les hackers ?

Après que l'attaque soit terminée, les hackers ont probablement constaté avoir pris en otage numérique bien plus de systèmes et de données qu'il ne l'auraient eux-mêmes imaginé. La rançon fixée par ses derniers s'éleva donc à un montant de 1'500 bitcoins. Au cours du moment, cela représente plus de 14 millions de dollars américains... La plus grosse rançons connue pour une attaque de ce groupe avec ce logiciel. Beaucoup de ventes de montres GPS donc. Beaucoup.

Pas d'autres solution que de payer...

A ce moment c'est la panique. Apparemment, vu de l'extérieur en tout cas, rien de suffisant n'a été mis en place à l'époque pour faire face à une telle situation. Quelques temps plus tard, je rencontre plusieurs employés de la marque qui m'ont montré sur leur ordinateur professionnel une partie des mesures qui ont été adoptées pour éviter que la situation ne se répète: des systèmes de protection partout, des authentifications tout le temps... Les équipes marketing n'ont accès à plus rien sur la partie technique, et inversement. Un contact technique me dit même il y a environ un an que pour connaître le prix de la montre sur laquelle il travaille, il attend la sortie pour le lire sur le site web. Même si il exagère peut-être un peu, je crois que le message est clair: la leçon a été apprise. Mais dans une douleur telle qu'au moment de faire face à la situation en 2020, la société n'a d'autre choix que de négocier avec les vilains.

Contourner le problème du paiement de rançon

Garmin ne peut pas payer la rançon... Elle tomberait sous le coup de la loi aux États-Unis, qui ont mis en place des sanctions contre la Russie après son invasion de la Crimée en 2014. Pour contourner ce problème, il existe une solution utilisée par plusieurs multinationales victimes de chantage numérique: passer par un intermédiaire. Des sociétés qui se sont spécialisées dans la négociation avec les hackers, qui procèdent à un échange " sécurisé " de la rançon contre une solution fonctionnelle de déchiffrement des données. Une partie de ces sociétés implantées dans plusieurs pays opèrent depuis Israël pour contourner les problèmes américains. Cela aurait donc permis à Garmin de payer cet intermédiaire, afin que lui-même négocie une baisse du montant de la rançon et obtienne de manière suffisamment sûre une solution pour retrouver les données en cas de paiement.

Jusque là, on ne pouvait qu'imaginer ces informations. Imaginer que Garmin avait procédé de la sorte, et imaginer le montant de la rançon. Au vu du délai nécessaire au retour aux affaires de Garmin au moment des faits, j'aurai plus parié sur une reconstruction du système depuis des sauvegardes. En effet, il a fallu près de 10 jours pour un retour des systèmes, et cela semblait plus en phase avec une reconstruction qu'avec une négociation et un retour des données. En général, les hackers jouent sur le temps que n'ont pas les victimes pour empocher plus d'argent. Par exemple avec un compte à rebours de 24 ou 48h pour payer avant que les données ne soient complètement effacées...

Garmin, les assureurs, les russes et les américains chez le juge suisse...

Figurez vous que Garmin est une société suisse... Ou plutôt, une société de droit suisse. Cela signifie que, bien que Garmin soit une multinationale internationale et que son siège opérationnel soit situé entre deux champs de maïs dans le Kansas américain, son siège juridique est basé dans le canton de Schaffhouse, en bordure du Rhin, en Helvétie...

Pourquoi une société de droit suisse? Peut-être parce que le pays, inventeur entre autre de la raclette, du web, du couteau suisse, du remonte-pente, de la théorie de la relativité ou encore du LSD qui a gagné la coupe de l'América sans accès à la mer et la Coupe Davis avec un Roger Federer blessé laissait penser qu'il s'agissait d'un pays d'innovations et de précurseurs. Mais en réalité, ce sont d'autres atouts qui ont probablement fait pencher la balance. Le cadre juridique et le taux d'imposition y sont probablement pour plus qu'Einstein, qui soit dit en passant n'est devenu suisse que bien après ses premiers travaux, et que Roger Federer qui était à peine ramasseur de balles quand Garmin a signé son premier contrat.

Bref, Garmin a choisi de constituer sa société sous le droit suisse, et donc tout litige majeur de la multinationale doit être jugé dans la confédération. Et c'est ce qui est arrivé quand Garmin, après avoir payé la rançon comme on l'a vu plus haut. Tout ça pour que tout le monde retrouve les joies de Garmin Connect et de la synchro vers Strava. La facture était salée et l'affaire a laissé un goût amer dans la bouche des dirigeants de la boite. Et comme toujours dans ce cas, on se demande " on a quoi comme contrats d'assurance? ". C'est là que ça devient intéressant.

L'assureur refuse, le cas va devant le Tribunal de commerce de Zürich, puis ensuite devant le Tribunal Fédéral

Comme presque toutes les multinationales, Garmin dispose d'un nombre invraisemblable de contrats d'assurances. Les avocats de la société ont donc " divisé la somme totale "distribué " les dommages liés à l'attaque informatique sur l'ensemble des contrats susceptibles de les couvrir. Une partie des assureurs a payé sans rechigner. Mais l'un d'entre eux, britannique (son identité réelle n'est pas révélée dans les documents mis à disposition), a refusé de payer en invoquant les mesures en place contre la Russie et les sanctions que pourraient prendre le gouvernement américain contre elle aux USA, suite à ce paiement... On a donc Garmin, une société internationale de droit suisse, une société intermédiaire qui paie des rançons, le U.S. Treasury Department's Office of Foreign Assets Controls (OFAC) américain qui veille à ce que l'on ne verse pas d'argent aux terroristes ni aux russes, un assureur britannique, des hackers russes, le tout dans un tribunal suisse... J'adore la mondialisation, c'est merveilleux!

Ce qui est intéressant dans le jugement (il est disponible en ligne, avec uniquement le caviardage des noms des sociétés engagées, mais en allemand), et plus encore dans l'analyse en français de Célian Hirsch pour le centre de droit bancaire et financier, c'est qu'il révèle des faits croustillants. Sans refaire le procès, je vous résume les points intéressants, qu'ils soient dans le texte ou à lire entre les lignes:

• Garmin aurait payé au final près de 10 millions de rançon pour se sortir de cette situation, cela bien sûr sans compter les coûts tels que le manque à gagner, la perte d'image et les éventuels dédommagements demandés par des clients
• L'assureur a été condamné à payer Garmin, et ceci pour deux raisons. La première: l'assureur n'a pas réussi à démontrer de manière suffisamment sûre que l'attaque a été menée par Evil Corp directement, même si c'est l'un de ses outil qui a été utilisé. Deuxièmement: il n'est pas établi que le paiement de la rançon profite directement à Evil Corp. De plus, les juges pensent peu probable le fait que l'OFAC américain se retourne contre l'assureur pour ce cas précis.
• Il s'agit d'un premier cas de jurisprudence en Suisse concernant le paiement d'une rançon pour une cyberattaque.
• Il est également noté que l'OFAC américain n'a jamais statué de manière claire, et n'est jamais intervenu dans le cas du paiement d'une rançon liée à une cyberattaque.

Conclusions

Premièrement, on apprend ici que lorsqu'on porte une Garmin, on porte (juridiquement tout du moins) une montre suisse. C'est déjà quelque chose. Ensuite on apprend que Garmin, qui clamait haut et fort durant des années lorsque je les rencontrais régulièrement, être une société d'ingénieurs et de personnes techniques, ne s'était pas préparée à une cyberattaque. Et que cette impréparation les a mené à payer une rançon colossale.

Au cours de toute l'affaire, ce qui a le plus inquiété, c'était l'extraction de données personnelles. Garmin gère les commandes effectuées directement sur son site, des comptes de sportifs qui stockent leurs données de santé, des cartes bancaires, des noms, des adresses... Il semble aujourd'hui qu'aucune information n'ait été extraite par le logiciel incriminé.

Comme je l'ai dit plus haut, j'ai rencontré des employés de Garmin après cet incident pour une occasion ou une autre, et ils ont tous soupiré ou juré au moins une fois devant leur ordinateur à un moment ou un autre, lorsque les systèmes demandaient une énième authentification. Il semble donc que la société ait, de force, intégré une politique de protection des données. Les comptes Garmin Connect permettent une authentification à deux facteurs pour augmenter leur sécurité, même si elle est encore loin d'être optimale (uniquement basée sur l'envoi d'un mail ou d'un SMS).

Quand on travaille dans le domaine de la sécurité informatique, on dit toujours: la question n'est pas de savoir si on se fera attaquer, mais quand? D'ailleurs, durant les longues journées de déconnexion, les autres entreprises du secteur se sont bien abstenues de retourner le couteau dans la plaie, sachant bien qu'elles n'étaient pas à l'abri. Cela aura peut-être même été un électrochoc préventif pour d'autres. Il n'y a qu'à l'espérer en tout cas!

Supporter ce site pour de futurs articles

Rédiger des tests et des articles sur la technologie dans le sport est une passion dévorante. Cela fait plus de 12 ans que je le fais en marge de mon activité professionnelle et sportive. Je ne compte pas mon temps, et je ne suis absolument pas rémunéré par les marques pour le faire. En passant par l'un des liens ci-dessous pour réaliser votre prochaine commande en ligne, je touche une petite commission sur la transaction, vous soutiendrez le site, et cela ne vous côutera pas plus cher! Pour tout savoir sur ma politique de publication et de publicité sur le site, rendez-vous ici!