Skip to content
CBCyber Breaches
Recherche
WiperContenu

Attaque wiper de Handala contre Stryker (liée à l'Iran, 2026)

Le groupe Handala, lié à l'État iranien, a compromis le compte administrateur Microsoft Intune de Stryker et utilisé l'outil de gestion des terminaux pour effacer plus de 200 000 serveurs, appareils mobiles et postes de travail d'entreprise dans 79 pays — paralysant les opérations de l'un des plus grands fabricants mondiaux de dispositifs médicaux.

Victime
Stryker
SecteurSantéIndustrie
PaysÉtats-Unis
GroupeHandala

Le 11 mars 2026, le fabricant de dispositifs médicaux Stryker a subi l'un des incidents cyber d'entreprise les plus destructeurs jamais rendus publics. Les attaquants — Handala, un groupe lié à l'Iran qui se présente comme hacktiviste mais a été lié au ministère iranien du Renseignement et de la Sécurité (MOIS) — ont compromis le compte administrateur Microsoft Intune de Stryker et l'ont utilisé pour effacer à distance plus de 200 000 systèmes dans 79 pays.

Ce qui s'est passé

Handala n'a pas déployé de rançongiciel. Ils n'ont pas déployé de logiciel voleur. Ils ont utilisé l'outil légitime de mobilité d'entreprise — Microsoft Intune, qui existe précisément pour permettre à la DSI de pousser des commandes vers des parcs d'appareils — pour émettre des commandes d'effacement distant contre plus de 200 000 serveurs, appareils mobiles et postes de travail d'entreprise de Stryker, y compris les appareils BYOD des employés.

Des employés auraient assisté en temps réel aux effacements. La chaîne d'attaque, telle que reconstituée par Kevin Beaumont, est passée par l'Active Directory de Stryker jusqu'au rôle administratif Intune ; à partir de là, les instructions d'effacement étaient triviales.

Dans un communiqué public, Handala a présenté l'attaque comme une représaille « pour l'attaque brutale contre l'école de Minab et en réponse aux cyberattaques en cours contre les infrastructures » de l'Iran et de ses alliés — l'inscrivant fermement dans le conflit ombre plus large Iran-Israël-États-Unis qui déborde sur des opérations cyber visant des cibles civiles depuis 2024.

Impact

  • Plus de 200 000 appareils effacés dans 79 pays — l'un des plus grands incidents cyber destructeurs à frapper une entreprise du secteur privé.
  • Systèmes de fabrication, de commandes et de distribution perturbés ; les résultats du T1 2026 affectés.
  • Pleine récupération opérationnelle annoncée plus tard en 2026 après un ré-imaging et un ré-enrôlement étendus des terminaux.
  • Aucune charge de rançongiciel, aucune charge de logiciel voleur — les attaquants ne s'intéressaient pas à l'argent.

Pourquoi c'est important

Stryker illustre ce à quoi ressemblent les opérations destructrices d'État lorsqu'elles croisent la gestion de la mobilité d'entreprise : un attaquant qui contrôle Intune n'a pas besoin de logiciel malveillant pour effacer un parc mondial. La boîte à outils des défenseurs est l'arme. L'attribution liée à l'Iran — masquant des opérations d'État derrière une persona hacktiviste — est aussi le modèle selon lequel le déni plausible est désormais fabriqué autour des opérations cyber étatiques.

Chronologie

  1. Handala compromet le compte administrateur Microsoft Intune de Stryker et efface à distance plus de 200 000 serveurs, appareils mobiles et postes de travail d'entreprise dans 79 pays. Des employés rapportent avoir vu leurs machines s'effacer en temps réel. Le groupe revendique l'attaque, la présentant comme une représaille « pour l'attaque brutale contre l'école de Minab » et les cyberattaques en cours contre les infrastructures de l'Iran.

  2. Le chercheur Kevin Beaumont rapporte la chaîne d'attaque : compromission de l'Active Directory conduisant à l'abus d'Intune pour un effacement distant massif. Aucune trace de rançongiciel ou de logiciel voleur n'est trouvée — l'attaque est purement destructrice.

  3. Les résultats du premier trimestre sont affectés par la perturbation de la fabrication, des commandes et de la distribution.

  4. Stryker confirme la pleine récupération opérationnelle de son réseau de fabrication et retrouve sa capacité de production maximale.

Sources

  1. techcrunch.comhttps://techcrunch.com/2026/03/11/stryker-hack-pro-iran-hacktivist-group-handala-says-it-is-behind-attack/
  2. krebsonsecurity.comhttps://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/
  3. hipaajournal.comhttps://www.hipaajournal.com/stryker-cyberattack-iran/
  4. industrialcyber.cohttps://industrialcyber.co/medical/suspected-iran-linked-cyberattack-hits-medical-technology-giant-stryker-amid-middle-east-tensions/
  5. lumos.comhttps://www.lumos.com/blog/stryker-hack

Incidents liés

RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Fuite de donnéesContenu

Fuite de données chez Yale New Haven Health (2025)

Une activité réseau suspecte chez Yale New Haven Health a conduit à la plus grande fuite de données de santé aux États-Unis en 2025 : 5,5 millions de patients ont vu leurs noms, coordonnées, dates de naissance, numéros de dossier médical et numéros de sécurité sociale dérobés. Le système de santé a ensuite accepté un règlement collectif de 18 millions de dollars.

Victim
Yale New Haven Health System
Loss
$18.0M
Records
5.6M
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim
Boeing — Activité Pièces détachées et Distribution