Recherche Kunena

Mot-clé
Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi
  • Page :
  • 1
  • 2

SUJET : Les services web Garmin sont en panne

Les services web Garmin sont en panne 1 semaine 4 jours ago #164919

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
www.matosvelo.fr/index.php?post/3145/les-service...-suite-a-une-attaque
Garmin reste discret sur les raisons de cette panne d’envergure déguisée en maintenance. Mais selon les indiscrétions des employés de la marque, celle-ci subit actuellement une attaque du rançongiciel nommé WastedLocker.

Quelle bande de branquignols :lol:
Région Grenobloise, GillesF78
Dernière édition: 1 semaine 4 jours ago par gillesF78.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 4 jours ago #164920

  • albator83
  • Portrait de albator83
  • Offline
  • Platinum Boarder
  • Messages : 9022
  • Remerciements reçus 585
  • Karma: 16
Ca peut arriver à n'importe quel S.I. ; chez nous aussi certains utilisateurs peu avertis ont déjà verrouillé des données ainsi en ouvrant un mail "suspect" sans faire gaffe, c'est vite arrivé.
Et dans ce cas-là une seule solution : restaurer les données verrouillées.
Manifestement chez Garmin le mal est de plus grande ampleur, sinon le service serait déjà reparti depuis un moment (ex : ça sert à rien de tout restaurer si le virus continue de "vivre" dans l'infrastructure et re-verrouiller au fur et à mesure :whistle: ).
.: Passions | Galerie | Blog :.
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: jfd_

Les services web Garmin sont en panne 1 semaine 4 jours ago #164921

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Le système d'information des services aux utilisateurs Garmin devrait être déconnecté de ceux de la R&D / intranet / etc de l'entreprise.
Le fait qu'un ingénieur ou un personnel administratif ouvre un mail vérolé devrait uniquement avoir un impact sur le SI interne à l'entreprise.

:wonder:
Région Grenobloise, GillesF78
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 4 jours ago #164923

  • jfd_
  • Portrait de jfd_
  • Offline
  • Administrator
  • Messages : 9597
  • Remerciements reçus 615
  • Karma: 26
On sait tous que par principe, tu n'aimes pas Garmin. :lol: Mais ne trouves-tu pas que tu y vas un peu fort quand même, non? :petard:

Rodolphe a tout à fait raison :yaisse: , cela peut arriver à n'importe qui, quelles que soient les organisations structurelles sur lesquelles reposent les différentes couches de l'IT d'une entreprise. Et de toute manière, quand on voit en frontal ce qui tombe sur le coin de la figure sur un vulgaire petit serveur comme celui de VO², sur une boite aussi exposée que Garmin, je n'ose imaginer :whistle: Et du coup, pour absolument tout verrouiller de manière sûre, ben, cela relève du quasi impossible.

Après, au delà de fournir des solutions manuelles de contournement du problème pour ceux qui ne sont pas habitués à cela (ce sera utile à certains, n'en doutons pas), il m’apparait que l'article du père Jean Guy est aussi pourvoyeur de supputations/hypothèses qui à ce jour ne sont que cela au vu de sa vision (quand il ne se contredit pas pour partie d'un paragraphe à l'autre). Un peu dommage... :wonder:
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 3 jours ago #164925

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)
Région Grenobloise, GillesF78
Dernière édition: 1 semaine 3 jours ago par gillesF78.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 3 jours ago #164926

  • teamdindon
  • Portrait de teamdindon
  • Offline
  • Platinum Boarder
  • Messages : 2829
  • Remerciements reçus 280
  • Karma: 8
gillesF78 écrit:
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.

gillesF78 écrit:
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)

J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: albator83

Les services web Garmin sont en panne 1 semaine 3 jours ago #164927

  • teamdindon
  • Portrait de teamdindon
  • Offline
  • Platinum Boarder
  • Messages : 2829
  • Remerciements reçus 280
  • Karma: 8
Analyse / point de vue plutôt bien développée :
www.nakan.ch/wp/2020/07/24/indisponibilite-de-ga...nt3fBo0_WbvzB9Beqkzc
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: jfd_, stam, albator83

Les services web Garmin sont en panne 1 semaine 3 jours ago #164928

  • albator83
  • Portrait de albator83
  • Offline
  • Platinum Boarder
  • Messages : 9022
  • Remerciements reçus 585
  • Karma: 16
Article intéressant, j'y retrouve quelques piliers que l'on tente de mettre en place chez nous (certification ISO 27001, toussa).

teamdindon écrit:
gillesF78 écrit:
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.
gillesF78 écrit:
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.


Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)

J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.

+1 : je suis largement plus inquiet avec ce qui circule côté sécu, mutuelle, banque, edf/gdf... que ce que j'ai chez Garmin ou Strava.
à part mon poids, mes watts et mes sorties ils n'ont rien... et si c'est exposé au vu de tous je m'en fous : idem pour Facebook, Instagram, Twitter, etc. on y colle ses données en connaissance de cause (si elles ne sont pas piratées, elles sont vendues légalement au plus offrant : ça fait partie des CGV), à moins d'une grande naïveté :whistle:

Au passage Gilles je pense que tu serais surpris de la (non) sécurité des systèmes informatiques nationaux tels que écoles, universités, etc.
.: Passions | Galerie | Blog :.
Dernière édition: 1 semaine 3 jours ago par albator83.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 3 jours ago #164930

  • albator83
  • Portrait de albator83
  • Offline
  • Platinum Boarder
  • Messages : 9022
  • Remerciements reçus 585
  • Karma: 16
gillesF78 écrit:
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin :evil: ).

Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.

Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.

Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs. ;-)

Bah vi, l'informatique n'est pas infaillible... et ne le sera jamais.
Après chacun ses choix...

PS : je réalise que tu utilises Gmail comme boîte mail... là niveau confidentialité/protection des données personnelles c'est bien pire que Garmin, j'espère que t'es au courant :whistle:
Et eux non plus ne sont pas l'abri d'une panne d'envergure mondiale.
.: Passions | Galerie | Blog :.
Dernière édition: 1 semaine 3 jours ago par albator83.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 1 jour ago #164944

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Il y en a qui ne manquent pas d'humour :lol:



Source : www.reddit.com/r/Garmin/comments/hx0ree/i_think_...wrong_with_my_watch/
Région Grenobloise, GillesF78
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: jfd_

Les services web Garmin sont en panne 1 semaine 1 jour ago #164948

  • zero_janvier
  • Portrait de zero_janvier
  • Offline
  • Gold Boarder
  • Messages : 455
  • Remerciements reçus 30
  • Karma: 2
Il y a déjà eu de nombreuses victimes de ce type d'attaques. Y compris dans des domaines bien plus sensibles que le sport !

www.zdnet.fr/actualites/chu-de-rouen-un-ransomwa...attaque-39894213.htm
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 1 jour ago #164951

  • teamdindon
  • Portrait de teamdindon
  • Offline
  • Platinum Boarder
  • Messages : 2829
  • Remerciements reçus 280
  • Karma: 8
Ça m'a l'air de repartir gentiment. J'ai réussi à synchroniser mon activité vélotaf de ce matin.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 1 jour ago #164968

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Plusieurs personnes avaient identifié les failles de sécurité Bluetooth sur des bracelets connectés :
For example, by using a Trojan-Ransom the fraudster could take control of your wristband, make it vibrate constantly and demand money to make it stop.
Source : securelist.com/how-i-hacked-my-smart-bracelet/69369/

Voici un tableau d'un ancien article qui évalue les mesures de protections de 9 bracelets connectés (vert = OK, rouge = Pas bien) :



Source : www.av-test.org/fileadmin/pdf/avtest_2015-06_fit..._tracker_english.pdf

Le bracelet garmin Vivosmart est relativement mal protégé, et il est susceptible de se faire pirater par bluetooth.

Autre méthode de piratage : "man in the middle" entre l'application et le server Garmin Connect, parce que les applications Android et iOS de Garmin connect n'utilisent (ou n'utilisaient?) pas HTTPS, sauf pendant la phase de création du compte
2.6.1 GARMIN CONNECT
The Garmin Connect Android and iOS applications did not use HTTPS for routine data transmission,
such as fitness event logging, downloading daily fitness summaries, and the modification
of privacy settings. Consequently all fitness data transmitted using the company’s mobile
applications could be monitored by a third party that stands between the consumer’s mobile
device and Garmin’s servers; this is referred to conducting a ‘man-in-the-middle’ (MITM) attack.
Garmin’s fitness data transmissions typically included the end user’s ‘userid‘ in the transmission
payload, which makes it very simple to identify and profile the captured data. The only
instance where we observed HTTPS being employed by Garmin Connect was during the account
creation and user login and log out processes. Securing the login and log out processes
helps protect accounts from being fully taken over (i.e by stealing passwords) but does not help
against surveillance of routine fitness data transmissions.
Source : A. Hilts, C. Parsons, and J. R. Knockel, “Every step you fake: A comparative
analysis of fitness tracker privacy and security,” Open Effect, Canada, Rep., Apr. 2016. openeffect.ca/reports/Every_Step_You_Fake.pdf

Ces faiblesses ne sont pas l'exclusivité de Garmin :
Furthermore, the analysis in [79] shows that, in most cases,
fitness tracking applications transmit every logged event over
the Internet, and in some cases, it is even unclear why such
transmissions are occurring. This allows an attacker to perform
data analysis on the amount of exchanged data. On top
of that, the authors found that Garmin devices do not use an
encrypted protocol to transmit data between the mobile device
and the Garmin servers, except during the account creation
phase. By exploiting this vulnerability, a man-in-the-middle
attack is able to capture e-mail addresses and session identifiers,
which are transmitted in clear-text.
Source :
F. Meneghello, M. Calore, D. Zucchetto, M. Polese and A. Zanella, "IoT: Internet of Threats? A Survey of Practical Security Vulnerabilities in Real IoT Devices," in IEEE Internet of Things Journal, vol. 6, no. 5, pp. 8182-8201, Oct. 2019, doi: 10.1109/JIOT.2019.2935189.
lien web : ieeexplore.ieee.org/document/8796409

Il y a des chances que les compteurs de vélo soient aussi mal protégés que les bracelets d'activités.

Les ceintures cardio Polar sont aussi vulnérables aux attaques par bluetooth :
Cybersecurity Assessment of the Polar
Bluetooth Low Energy Heart-Rate Sensor...

The case-study shows that an attacker can easily intercept and manipulate the data transmitted between the mobile app and the BLE device. With this research, the author would raise awareness about the security of the heart-rate information that we can receive from our wireless body sensors.
Source :
Soderi S. (2019) Cybersecurity Assessment of the Polar Bluetooth Low Energy Heart-Rate Sensor. In: Mucchi L., Hämäläinen M., Jayousi S., Morosi S. (eds) Body Area Networks: Smart IoT and Big Data for Intelligent Health Management. BODYNETS 2019. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol 297. Springer, Cham
lien web : rdcu.be/b5RXA

Si certains ont du temps pour tester les protections des compteurs Sigma, Wahoo,je suis preneur :tss:

Bref, j'espère que les fabricants d'objets connectés vont corriger ces failles de sécurité qui sont bien connues pour certaines.
Région Grenobloise, GillesF78
Dernière édition: 1 semaine 1 jour ago par gillesF78.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 23 heures ago #164970

  • david38
  • Portrait de david38
  • Offline
  • Platinum Boarder
  • Messages : 655
  • Remerciements reçus 61
  • Karma: 0
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 23 heures ago #164971

  • albator83
  • Portrait de albator83
  • Offline
  • Platinum Boarder
  • Messages : 9022
  • Remerciements reçus 585
  • Karma: 16
Tout dépend de la portée effective de l'appareil BT connecté (et du "récepteur" du hackeur potentiel).
Suivant les conditions ça peut être plusieurs mètres facile.
.: Passions | Galerie | Blog :.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 23 heures ago #164972

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
david38 écrit:
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

50 mètres en théorie, mais c'est un peu moins en pratique.
Région Grenobloise, GillesF78
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 22 heures ago #164973

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Celle là est pas mal non plus : une montre connectée sensée permettre aux parents de surveiller leur enfant transmettait les informations personnelles des enfants et des parents aux pirates :
www.iot-tests.org/2019/11/product-warning-chines...s-of-childrens-data/

Un pirate qui connait les trajets quotidiens de l'enfant, l'adresse postale, email des parents pourrait faire beaucoup de mal.
Région Grenobloise, GillesF78
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 20 heures ago #164977

  • david38
  • Portrait de david38
  • Offline
  • Platinum Boarder
  • Messages : 655
  • Remerciements reçus 61
  • Karma: 0
gillesF78 écrit:
david38 écrit:
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?

50 mètres en théorie, mais c'est un peu moins en pratique.

Donc en pratique le risque de se faire piraté est là mais la probabilité que ça arrive est faible... Ou alors on a vexé un hacker?
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 19 heures ago #164979

  • gillesF78
  • Portrait de gillesF78
  • Offline
  • Platinum Boarder
  • Messages : 3462
  • Remerciements reçus 467
  • Karma: 11
Mais non, tu ne crains rien.

Aie confiance...

Région Grenobloise, GillesF78
Dernière édition: 1 semaine 19 heures ago par gillesF78.
L'administrateur a désactivé l'accès en écriture pour le public.

Les services web Garmin sont en panne 1 semaine 7 heures ago #164996

  • jfd_
  • Portrait de jfd_
  • Offline
  • Administrator
  • Messages : 9597
  • Remerciements reçus 615
  • Karma: 26
L'assureur MMA est dans la même situation depuis le 17 juillet pour une attaque en tous points similaire.
L'administrateur a désactivé l'accès en écriture pour le public.
  • Page :
  • 1
  • 2
Temps de génération de la page : 0.170 secondes
Propulsé par Kunena