Stryker : 80 000 appareils effacés sans un seul malware

Pas de ransomware, pas de malware, juste Intune

On a l'habitude des cyberattaques avec ransomware, chiffrement de données et demandes de rançon. Celle qui a frappé Stryker, le géant américain du matériel médical, est d'un genre différent — et franchement plus flippante.

Le 11 mars, entre 5h et 8h UTC, un attaquant a utilisé Microsoft Intune — l'outil de gestion des terminaux de Microsoft — pour effacer à distance environ 80 000 appareils de l'entreprise. Pas de malware déployé. Pas de fichiers chiffrés. L'attaquant a simplement appuyé sur le bouton "wipe" que l'outil met à disposition des administrateurs.

Comment ? En compromettant un compte administrateur existant, puis en se créant un compte Global Administrator tout neuf. Avec ces privilèges, l'accès à la commande d'effacement dans Intune était à portée de clic.

Le groupe Handala revendique l'attaque

Le groupe hacktiviste Handala, qu'on estime lié à l'Iran, a revendiqué l'opération. Ils affirment avoir effacé "plus de 200 000 systèmes, serveurs et appareils mobiles" et volé 50 téraoctets de données. Stryker et les enquêteurs contestent ces chiffres : le nombre réel serait d'environ 80 000 appareils, et aucune preuve d'exfiltration de données n'a été trouvée pour l'instant.

L'enquête est menée par le Microsoft Detection and Response Team (DART) en collaboration avec l'équipe Unit 42 de Palo Alto Networks.

Des employés touchés sur leurs appareils personnels

Le détail qui fait mal : certains employés avaient inscrit leurs appareils personnels sur le réseau de l'entreprise via Intune. Ces téléphones et ordinateurs personnels ont été effacés au même titre que les appareils pros. Des données personnelles perdues, sans possibilité de récupération immédiate.

C'est le genre de dommage collatéral qu'on sous-estime dans les politiques BYOD (Bring Your Own Device). Quand l'outil d'administration est compromis, tout ce qui y est rattaché trinque.

Les appareils médicaux épargnés

Bonne nouvelle dans le chaos : Stryker confirme que ses produits médicaux — y compris les dispositifs connectés — n'ont pas été touchés. L'attaque s'est cantonnée à l'environnement Microsoft interne de l'entreprise. Les équipements chirurgicaux, les implants et les technologies de diagnostic restent opérationnels et sûrs.

En revanche, les systèmes de commande électronique sont toujours hors service. Les clients doivent passer leurs commandes manuellement, par téléphone, auprès des commerciaux. Ambiance rétro.

Ce que cette attaque nous apprend

Ce qui rend cette cyberattaque remarquable, c'est sa simplicité. Pas besoin de développer un malware sophistiqué quand les outils d'administration cloud font le travail. Compromettre un compte admin et lancer une commande native — voilà toute la recette.

C'est un signal d'alarme pour toutes les entreprises qui gèrent des flottes d'appareils via Intune, Jamf ou n'importe quel MDM cloud. La question n'est plus "avez-vous un antivirus" mais "qui a accès à vos commandes d'administration et avec quel niveau de protection".

Stryker annonce que ses systèmes transactionnels sont "sur une voie claire vers la récupération complète". La priorité est de rétablir la chaîne d'approvisionnement et les commandes clients. En attendant, l'entreprise fonctionne en mode dégradé — un rappel brutal que la cybersécurité, c'est aussi protéger les outils qu'on croit de confiance.