- Vous êtes ici :
- Accueil
- Forum
- VO2 CYCLING
- MATERIEL / MECANIQUE / ENTRETIEN
- Les services web Garmin sont en panne
Recherche Kunena
Les services web Garmin sont en panne
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Garmin reste discret sur les raisons de cette panne d’envergure déguisée en maintenance. Mais selon les indiscrétions des employés de la marque, celle-ci subit actuellement une attaque du rançongiciel nommé WastedLocker.
Quelle bande de branquignols
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- albator83
- Hors Ligne
- Membre platinium
Et dans ce cas-là une seule solution : restaurer les données verrouillées.
Manifestement chez Garmin le mal est de plus grande ampleur, sinon le service serait déjà reparti depuis un moment (ex : ça sert à rien de tout restaurer si le virus continue de "vivre" dans l'infrastructure et re-verrouiller au fur et à mesure ).
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Le fait qu'un ingénieur ou un personnel administratif ouvre un mail vérolé devrait uniquement avoir un impact sur le SI interne à l'entreprise.
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- jfd_
- Hors Ligne
- Administrateur
- Messages : 11159
- Remerciements reçus 1242
Rodolphe a tout à fait raison , cela peut arriver à n'importe qui, quelles que soient les organisations structurelles sur lesquelles reposent les différentes couches de l'IT d'une entreprise. Et de toute manière, quand on voit en frontal ce qui tombe sur le coin de la figure sur un vulgaire petit serveur comme celui de VO², sur une boite aussi exposée que Garmin, je n'ose imaginer Et du coup, pour absolument tout verrouiller de manière sûre, ben, cela relève du quasi impossible.
Après, au delà de fournir des solutions manuelles de contournement du problème pour ceux qui ne sont pas habitués à cela (ce sera utile à certains, n'en doutons pas), il m’apparait que l'article du père Jean Guy est aussi pourvoyeur de supputations/hypothèses qui à ce jour ne sont que cela au vu de sa vision (quand il ne se contredit pas pour partie d'un paragraphe à l'autre). Un peu dommage...
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.
Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- teamdindon
- Hors Ligne
- Membre platinium
- Messages : 4024
- Remerciements reçus 753
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).
Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.
Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.
Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.
J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.
Connexion ou Créer un compte pour participer à la conversation.
- teamdindon
- Hors Ligne
- Membre platinium
- Messages : 4024
- Remerciements reçus 753
www.nakan.ch/wp/2020/07/24/indisponibilite-de-ga...nt3fBo0_WbvzB9Beqkzc
Connexion ou Créer un compte pour participer à la conversation.
- albator83
- Hors Ligne
- Membre platinium
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).
Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.
Pour ma part, à partir du moment où je communique des données perso à ce genre de service, c'est en connaissance de cause.
Ce qui me gène plus en terme de données perso, c'est plutôt celles dont dispose ma banque, Enedis & co, services dont on peut difficilement se passer et qui par recoupement, on vraiment l'air de faire n'importe quoi avec ces données.
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.
Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.
J'utilise aussi GoldenCheetah pour l'analyse et Strava pour l'aspect réseau social. Au final, Garmin Connect ne me sert qu'à faire transiter mes données de mon appareil vers Strava. A la rigueur, ce que je reproche à Garmin, c'est de ne pas proposer d'API permettant d’interagir directement en Bluetooth avec mon compteur (ou alors ça existe et je suis passé à côté). C'est entre autres pour ça que je serais client pour un compteur basé sur une plateforme Android comme on en discutait dans un autre post.
+1 : je suis largement plus inquiet avec ce qui circule côté sécu, mutuelle, banque, edf/gdf... que ce que j'ai chez Garmin ou Strava.
à part mon poids, mes watts et mes sorties ils n'ont rien... et si c'est exposé au vu de tous je m'en fous : idem pour Facebook, Instagram, Twitter, etc. on y colle ses données en connaissance de cause (si elles ne sont pas piratées, elles sont vendues légalement au plus offrant : ça fait partie des CGV), à moins d'une grande naïveté
Au passage Gilles je pense que tu serais surpris de la (non) sécurité des systèmes informatiques nationaux tels que écoles, universités, etc.
Connexion ou Créer un compte pour participer à la conversation.
- albator83
- Hors Ligne
- Membre platinium
Si les serveurs web ne peuvent pas se protéger contre de telles attaques, c'est une raison supplémentaire pour ne pas envoyer ses données personnelles sur le net... (surtout sur des serveurs soumis aux maladresses des branquignols de chez garmin ).
Non seulement nous ne sommes pas protégés contre l'utilisation de nos données à des fins contrevenant aux droits fondamentaux (cf décision de la cour européenne pour la plainte portée par Max Schrems), mais en plus nous ne pouvons pas compter sur la pérennité et la fiabilité des services.
Il vaut mieux utiliser Golden Cheetah pour gérer ses activités sportives, épicétou.
Bon, je reconnais que le réseau social de Strava est sympa... je l'utilise juste pour ce que Golden Cheetah ne sait pas faire : partager des photos, et discuter avec les autres sportifs.
Bah vi, l'informatique n'est pas infaillible... et ne le sera jamais.
Après chacun ses choix...
PS : je réalise que tu utilises Gmail comme boîte mail... là niveau confidentialité/protection des données personnelles c'est bien pire que Garmin, j'espère que t'es au courant
Et eux non plus ne sont pas l'abri d'une panne d'envergure mondiale.
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Source : www.reddit.com/r/Garmin/comments/hx0ree/i_think_...wrong_with_my_watch/
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- zero_janvier
- Hors Ligne
- Membre elite
- Messages : 472
- Remerciements reçus 33
www.zdnet.fr/actualites/chu-de-rouen-un-ransomwa...attaque-39894213.htm
Connexion ou Créer un compte pour participer à la conversation.
- teamdindon
- Hors Ligne
- Membre platinium
- Messages : 4024
- Remerciements reçus 753
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Source : securelist.com/how-i-hacked-my-smart-bracelet/69369/For example, by using a Trojan-Ransom the fraudster could take control of your wristband, make it vibrate constantly and demand money to make it stop.
Voici un tableau d'un ancien article qui évalue les mesures de protections de 9 bracelets connectés (vert = OK, rouge = Pas bien) :
Source : www.av-test.org/fileadmin/pdf/avtest_2015-06_fit..._tracker_english.pdf
Le bracelet garmin Vivosmart est relativement mal protégé, et il est susceptible de se faire pirater par bluetooth.
Autre méthode de piratage : "man in the middle" entre l'application et le server Garmin Connect, parce que les applications Android et iOS de Garmin connect n'utilisent (ou n'utilisaient?) pas HTTPS, sauf pendant la phase de création du compte
Source : A. Hilts, C. Parsons, and J. R. Knockel, “Every step you fake: A comparative2.6.1 GARMIN CONNECT
The Garmin Connect Android and iOS applications did not use HTTPS for routine data transmission,
such as fitness event logging, downloading daily fitness summaries, and the modification
of privacy settings. Consequently all fitness data transmitted using the company’s mobile
applications could be monitored by a third party that stands between the consumer’s mobile
device and Garmin’s servers; this is referred to conducting a ‘man-in-the-middle’ (MITM) attack.
Garmin’s fitness data transmissions typically included the end user’s ‘userid‘ in the transmission
payload, which makes it very simple to identify and profile the captured data. The only
instance where we observed HTTPS being employed by Garmin Connect was during the account
creation and user login and log out processes. Securing the login and log out processes
helps protect accounts from being fully taken over (i.e by stealing passwords) but does not help
against surveillance of routine fitness data transmissions.
analysis of fitness tracker privacy and security,” Open Effect, Canada, Rep., Apr. 2016. openeffect.ca/reports/Every_Step_You_Fake.pdf
Ces faiblesses ne sont pas l'exclusivité de Garmin :
Source :Furthermore, the analysis in [79] shows that, in most cases,
fitness tracking applications transmit every logged event over
the Internet, and in some cases, it is even unclear why such
transmissions are occurring. This allows an attacker to perform
data analysis on the amount of exchanged data. On top
of that, the authors found that Garmin devices do not use an
encrypted protocol to transmit data between the mobile device
and the Garmin servers, except during the account creation
phase. By exploiting this vulnerability, a man-in-the-middle
attack is able to capture e-mail addresses and session identifiers,
which are transmitted in clear-text.
F. Meneghello, M. Calore, D. Zucchetto, M. Polese and A. Zanella, "IoT: Internet of Threats? A Survey of Practical Security Vulnerabilities in Real IoT Devices," in IEEE Internet of Things Journal, vol. 6, no. 5, pp. 8182-8201, Oct. 2019, doi: 10.1109/JIOT.2019.2935189.
lien web : ieeexplore.ieee.org/document/8796409
Il y a des chances que les compteurs de vélo soient aussi mal protégés que les bracelets d'activités.
Les ceintures cardio Polar sont aussi vulnérables aux attaques par bluetooth :
Source :Cybersecurity Assessment of the Polar
Bluetooth Low Energy Heart-Rate Sensor...
The case-study shows that an attacker can easily intercept and manipulate the data transmitted between the mobile app and the BLE device. With this research, the author would raise awareness about the security of the heart-rate information that we can receive from our wireless body sensors.
Soderi S. (2019) Cybersecurity Assessment of the Polar Bluetooth Low Energy Heart-Rate Sensor. In: Mucchi L., Hämäläinen M., Jayousi S., Morosi S. (eds) Body Area Networks: Smart IoT and Big Data for Intelligent Health Management. BODYNETS 2019. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol 297. Springer, Cham
lien web : rdcu.be/b5RXA
Si certains ont du temps pour tester les protections des compteurs Sigma, Wahoo,je suis preneur
Bref, j'espère que les fabricants d'objets connectés vont corriger ces failles de sécurité qui sont bien connues pour certaines.
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- david38
- Hors Ligne
- Membre platinium
- Messages : 1060
- Remerciements reçus 169
Région Grenobloise
Connexion ou Créer un compte pour participer à la conversation.
- albator83
- Hors Ligne
- Membre platinium
Suivant les conditions ça peut être plusieurs mètres facile.
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?
50 mètres en théorie, mais c'est un peu moins en pratique.
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
www.iot-tests.org/2019/11/product-warning-chines...s-of-childrens-data/
Un pirate qui connait les trajets quotidiens de l'enfant, l'adresse postale, email des parents pourrait faire beaucoup de mal.
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- david38
- Hors Ligne
- Membre platinium
- Messages : 1060
- Remerciements reçus 169
Question idiote: à quelle distance du hacker faut-il se trouver pour que celui-ci puisse prendre contrôle du biniou avec le bluetooth?
50 mètres en théorie, mais c'est un peu moins en pratique.
Donc en pratique le risque de se faire piraté est là mais la probabilité que ça arrive est faible... Ou alors on a vexé un hacker?
Région Grenobloise
Connexion ou Créer un compte pour participer à la conversation.
- gillesF78
- Auteur du sujet
- Hors Ligne
- Membre platinium
- Messages : 7043
- Remerciements reçus 1819
Aie confiance...
Région Grenobloise, GillesF78
Connexion ou Créer un compte pour participer à la conversation.
- jfd_
- Hors Ligne
- Administrateur
- Messages : 11159
- Remerciements reçus 1242
Connexion ou Créer un compte pour participer à la conversation.