Pas de ransomware. Pas de virus. Le 11 mars, des hackers liés à l’Iran ont pris le contrôle d’un compte administrateur de Stryker, géant américain des technologies médicales, et ont utilisé un outil Microsoft pour effacer à distance 80 000 appareils en trois heures. L’attaque la plus propre — et la plus dévastatrice — de l’année.

L’attaque : trois heures pour tout effacer

Entre 5 heures et 8 heures UTC le 11 mars, les écrans se sont éteints. Ordinateurs portables, téléphones professionnels, serveurs : des dizaines de milliers d’appareils ont été remis à zéro simultanément dans 79 pays.

L’arme n’était pas un malware sophistiqué. C’était Microsoft Intune, l’outil de gestion des appareils que les entreprises utilisent pour configurer et sécuriser leurs flottes. Les attaquants ont compromis un compte d’administrateur Windows, créé un nouveau compte Global Administrator, puis lancé la commande de réinitialisation d’usine sur l’ensemble du parc.

Le groupe Handala, lié au ministère iranien du Renseignement (MOIS) selon le FBI, a revendiqué l’opération. Il affirme avoir effacé « plus de 200 000 systèmes et appareils » et exfiltré 50 téraoctets de données. Les enquêteurs n’ont trouvé aucune preuve d’exfiltration, mais le chiffre de 80 000 appareils effacés est confirmé par des sources proches de l’enquête, selon BleepingComputer.

Stryker : un Fortune 500 à genoux

Stryker n’est pas une PME. C’est un mastodonte de 22,6 milliards de dollars de chiffre d’affaires, 53 000 employés et un portefeuille qui couvre les implants chirurgicaux, les équipements de neurochirurgie et les technologies médicales connectées. L’entreprise a immédiatement déposé un formulaire 8-K auprès de la SEC, confirmant « une perturbation mondiale de son environnement Microsoft ».

Le plus inquiétant : des employés ont perdu des données personnelles. Ceux qui avaient inscrit leur téléphone personnel dans le système de gestion de l’entreprise ont vu leur appareil réinitialisé sans avertissement. Le personnel a reçu l’instruction de supprimer le portail Intune, Teams et les clients VPN de leurs appareils personnels. Certains sites ont basculé sur papier et stylo.

Les produits médicaux de Stryker — implants, systèmes de navigation chirurgicale, dispositifs connectés — n’ont pas été touchés. Mais les systèmes de commande électronique sont restés hors ligne pendant des jours, forçant des chirurgies à être reportées faute de livraison d’implants personnalisés.

Le FBI entre en scène

La réponse a mobilisé les plus hautes instances. Stryker travaille avec l’équipe DART de Microsoft (Detection and Response Team), l’unité 42 de Palo Alto Networks, le FBI, la CISA, le département de la Santé (HHS) et le directeur national de la cybersécurité de la Maison-Blanche.

Le 20 mars, le FBI a saisi quatre domaines utilisés par Handala pour publier des données volées. Le lendemain, l’agence a émis une alerte flash révélant que le groupe utilise Telegram comme infrastructure de commande et de contrôle (C2) pour cibler des journalistes critiques du régime iranien et des dissidents.

Handala n’est pas un groupe amateur. Apparu en décembre 2023, il est lié au MOIS et s’est spécialisé dans les attaques destructrices contre des organisations israéliennes avant d’élargir ses cibles. L’unité 42 de Palo Alto l’associe également au groupe « Homeland Justice », une autre opération iranienne.

Le vrai problème : vos outils d’administration sont des armes

L’attaque Stryker illustre une tendance qui inquiète les experts en cybersécurité : les hackers n’ont plus besoin de créer des malwares. Ils utilisent les outils légitimes déjà présents dans l’infrastructure de leurs victimes — une technique connue sous le nom de « Living off the Land ».

Microsoft Intune est conçu pour protéger les entreprises. La commande de réinitialisation existe pour effacer un appareil volé ou perdu. Mais entre de mauvaises mains, elle devient une arme de destruction massive capable de paralyser une multinationale en quelques heures.

La leçon est brutale : le maillon faible n’était pas un logiciel troué, mais un compte administrateur insuffisamment protégé. Un seul identifiant compromis a suffi pour retourner l’infrastructure de sécurité de Stryker contre elle-même.