Nous vous parlions la semaine dernière de la cyberattaque dont était victime Garmin. Paralysée par une attaque de type ransomware qu’elle a mis du temps à reconnaître, l’entreprise est de nouveau pleinement opérationnelle. Le problème ? Le site web américain Bleeping Computer rapporte que pour se défaire de la cyberattaque, Garmin aurait dû se résoudre à payer la rançon.

Garmin, victime d’un ransomware, aurait payé la rançon

C’était le 23 juillet dernier. Tous les services de Garmin font l’objet d’une panne généralisée. L’entreprise met d’abord 3 jours à publier un tweet qui se contente d’évoquer une panne. Elle mettra 3 jours supplémentaire à sortir un communiqué officiel qui cette fois-ci officialise la cyberattaque. Dans son communiqué, Garmin précise si tous ses services sont affectés, elle n’a « aucune raison de penser que des données client, y compris les informations de paiement de Garmin Pay, ont été consultées, perdues ou volées. » Cependant, rien n’est dévoilé quant à la nature de la cyberattaque, et il faut se référer aux sources internes de TechCrunch pour en savoir plus.

Rapidement, ces sources affirment que la cyberattaque est un rançongiciel (ransomware en anglais) du nom de WastedLocker, piloté par le groupe de hackers russes Evil Corp. Un ransomware est un malware qui chiffre les fichiers d’un système, paralysant son accès. Les hackers conditionnent ensuite l’envoi d’une clé de déchiffrement au paiement d’une rançon.

Et ce serait justement la porte de sortie choisie par Garmin. Les documents obtenus par Bleeping Computer révèlent que la clé de déchiffrement aurait été remise par les hackers dans les deux jours après la cyberattaque du 23 juillet. Ce qui expliquerait le début de retour à la normale quatre jours plus tard. La rançon qu’aurait versée Garmin pour obtenir la clé est elle évaluée à 10 millions de dollars. Une goutte d’eau dans les plus de 870 millions de dollars de chiffres d’affaires générés rien que sur le second trimestre 2020. Ce n’est donc pas tellement le montant de la rançon qui a fait grincer des dents.

La sécurité des systèmes en question

Comme évoqué par nos confrères de Cyberguerre, le kit de restauration utilisé par le service informatique de Garmin suggère que l’entreprise n’a pas relancé ses systèmes à partir de zéro. Une procédure généralement appliquée, car elle permet de ne pas tenir compte des éventuels changements que les hackers auraient effectué avant de chiffrer les fichiers. En se contentant de déchiffrer le système et de le redémarrer là où elle l’avait laissé, l’entreprise s’expose ainsi à une nouvelle cyberattaque d’ampleur.

Et puisqu’elle vient de montrer qu’elle est capable de sortir le porte-monnaie, Garmin se présente comme une cible idéale pour d’autres cybercriminels. Un cercle vicieux qui paraît difficile à rompre lorsqu’une première rançon est versée. Celle-ci alimentant les hackers en moyens financiers, il y a fort à parier que la prochaine cyberattaque sera d’autant complexe et difficile à parer.

Le malware en question, baptisé WastedLocker serait donc l’oeuvre d’un collectif de cybercriminels basés en Russie, plus connu sous le nom d’Evil Corp. Une organisation criminelle déjà identifiée et sanctionnée par le département du Trésor américain. Une sanction qui s’accompagne d’une conséquence forte : l’interdiction pour les sociétés américaines de réaliser des transactions avec l’entité.

Une zone d’ombre subsiste donc quant à la résolution de cette cyberattaque. Un flou également entretenu par la société Arete Incident Response, spécialisée dans la gestion de ce type d’incidents. Le lendemain de l’officialisation de l’attaque, elle publiait une étude remettant en cause le lien entre WastedLocker et Evil Corp. Ce qui, si avéré, validerait légalement le paiement de la rançon. Un paiement de toute façon effectué par une société tiers. Son nom ? Arete Incident Response.

A l’avenir, Garmin aurait tout intérêt à renforcer ses systèmes de sécurité pour s’éviter une nouvelle situation de crise nuageuse. En jeu : s’éviter un trou dans le porte-monnaie bien plus conséquent que le montant de la supposée rançon. Car Garmin, ce n’est pas qu’une base client constituée de de sportifs. 33% de ses revenus proviennent du secteur de l’aviation et de la marine.

Avec une cyberattaque qui met ses systèmes de GPS hors ligne, ce sont autant d’avions cloués au sol. Ce que confirme Taren Stanton, pilote instructeur dans le Colorado : « Le plus gros problème de mon école de pilotage est de ne pas pouvoir mettre à jour les bases de données des Garmin 430 que nous avons dans tous nos avions – nous les utilisons pour la navigation. Légalement, nous ne pouvons pas faire voler un plan de vol aux instruments en les utilisant pour la navigation s’ils ne sont pas mis à jour. Nous avons eu un avion qui a été temporairement immobilisé au sol à cause de cela ».

Entre communication flottante, et résolution pas très rassurante, il faudra garder l’oeil sur l’entreprise dans les mois à venir.