Mercredi matin, des milliers d’employés de Stryker ont allumé leur ordinateur pour découvrir un écran vide. Portable, téléphone professionnel, serveur : tout avait été effacé pendant la nuit. Le géant américain du matériel médical, qui pèse 22,6 milliards de dollars de chiffre d’affaires et emploie plus de 53 000 personnes dans 79 pays, venait d’être frappé par l’une des cyberattaques les plus spectaculaires de l’année.
Une nuit, 200 000 appareils réduits à néant
Le groupe Handala, collectif de hackers lié aux services de renseignement iraniens (MOIS), revendique l’opération. Leur méthode : un malware de type « wiper », conçu non pas pour chiffrer les données contre rançon, mais pour les détruire purement et simplement. Selon les revendications du groupe, relayées par BleepingComputer, plus de 200 000 systèmes, serveurs et appareils mobiles ont été effacés, et 50 téraoctets de données critiques ont été exfiltrés avant la destruction.
La particularité de cette attaque réside dans son vecteur. Les pirates auraient exploité le système de gestion d’appareils mobiles (MDM) de l’entreprise pour déclencher un effacement à distance de tous les terminaux enrôlés. Résultat : des employés aux États-Unis, en Irlande, au Costa Rica et en Australie ont vu leurs appareils professionnels, mais aussi leurs téléphones personnels connectés au réseau de l’entreprise, se réinitialiser en pleine nuit. La direction a immédiatement demandé à tous les salariés de désinstaller les applications d’entreprise de leurs appareils personnels, y compris le portail Intune, Teams et les clients VPN.
Le retour du stylo et du papier
En Irlande, où Stryker emploie 4 000 personnes sur son site de Cork, le plus grand en dehors des États-Unis, le choc a été brutal. « Personne ne peut travailler. L’entreprise entière est à l’arrêt. Personne n’a la moindre idée de ce qui se passe », a confié une source au Irish Mirror. Des services entiers sont revenus aux méthodes manuelles : formulaires papier, appels téléphoniques sur lignes fixes, notes manuscrites.
Le Wall Street Journal a été le premier à rapporter l’ampleur de la panne mondiale. Stryker a ensuite confirmé l’incident dans un formulaire 8-K déposé auprès de la SEC, le gendarme boursier américain. Le document parle d’un « incident de cybersécurité affectant certains systèmes informatiques » ayant provoqué « une perturbation globale de l’environnement Microsoft de l’entreprise ». L’entreprise précise n’avoir détecté « aucun signe de rançongiciel ou de malware » et estime que « l’incident est contenu », sans donner de calendrier de rétablissement.
Une représaille directe au conflit Iran-USA
Ce n’est pas un acte isolé. Handala, apparu en décembre 2023, s’est d’abord fait connaître en ciblant des organisations israéliennes avec des wipers capables de détruire aussi bien des machines Windows que Linux. Mais depuis l’Opération Epic Fury, l’offensive militaire conjointe américano-israélienne lancée le 28 février 2026 contre l’Iran, le groupe a élargi ses cibles.
Selon un rapport publié cette semaine par l’unité de recherche Unit 42 de Palo Alto Networks, la connectivité internet iranienne est tombée à 1-4 % de sa capacité dans les heures suivant les premières frappes. Ce contexte a poussé les cellules cyber iraniennes dispersées à l’étranger à agir de manière autonome, sans coordination centralisée. Le résultat : des attaques moins sophistiquées sur le plan technique, mais d’une ampleur destructrice sans précédent.
Handala justifie l’attaque contre Stryker comme une réponse à un bombardement ayant touché une école iranienne, qui aurait fait des centaines de victimes parmi les élèves. Cette revendication, non vérifiée de manière indépendante, illustre comment le conflit armé se prolonge désormais dans le cyberespace, avec des entreprises civiles prises pour cibles.
Le matériel médical dans la ligne de mire
Stryker n’est pas n’importe quelle entreprise. Classée au Fortune 500, elle fabrique des équipements chirurgicaux, de la neurotechnologie et des implants utilisés dans des milliers d’hôpitaux. Si l’attaque a principalement touché les systèmes informatiques internes et non les dispositifs médicaux eux-mêmes, la question de la chaîne d’approvisionnement se pose. Combien de temps faudra-t-il pour restaurer 200 000 postes de travail ? Quels retards sur les commandes d’équipements hospitaliers ?
L’entreprise travaille avec Microsoft pour rétablir ses systèmes, mais n’a communiqué aucun calendrier. Les pirates, eux, ont défiguré la page de connexion Entra (anciennement Azure AD) de Stryker pour y afficher leur logo, un geste symbolique autant que provocateur.
Quand le MDM devient une arme
L’ironie technique de cette attaque mérite qu’on s’y arrête. Les systèmes de gestion d’appareils mobiles (MDM), comme Microsoft Intune utilisé par Stryker, sont précisément conçus pour sécuriser les flottes d’entreprise. Ils permettent aux administrateurs d’effacer un téléphone volé, de forcer une mise à jour de sécurité ou de bloquer un appareil compromis. Mais entre les mains d’un attaquant qui parvient à en prendre le contrôle, cet outil de protection se transforme en arme de destruction massive numérique.
C’est un scénario que les experts en cybersécurité redoutaient. En compromettant le MDM, Handala a pu déclencher un effacement simultané sur des dizaines de milliers de terminaux répartis sur tous les continents, sans avoir besoin d’installer un malware sur chaque machine individuellement. Un seul point d’entrée, 200 000 victimes.
Un signal d’alarme pour toutes les multinationales
Le cas Stryker va bien au-delà d’un fait divers cyber. Il démontre que les conflits armés contemporains intègrent désormais systématiquement un volet numérique visant les entreprises civiles. Palo Alto Networks prévient que d’autres groupes, étatiques ou hacktivistes, pourraient cibler les organisations perçues comme proches des parties belligérantes. Les entreprises opérant dans des pays hébergeant des bases militaires américaines sont particulièrement exposées.
Stryker n’a pas encore chiffré l’impact financier de l’attaque. Son action, cotée au NYSE, a reculé de 4,2 % dans les échanges après-bourse mercredi soir. Le prochain rapport trimestriel dira si les 50 téraoctets volés contenaient des données patients, des brevets ou des secrets industriels. En attendant, à Cork comme à Kalamazoo, des milliers d’employés remplissent des formulaires à la main.
