Sécurité de l'IoT

Un wiper destructeur efface près de 80 000 appareils de Stryker

Photo of Olivier Gouin Olivier Gouin Follow on Twitter il y a 5 jours
0 323 7 minutes de lecture
Équipe IT rétablit des postes après attaque informatique destructive
Des équipes IT mobilisées pour restaurer des systèmes après une attaque destructive. Crédit : photo d’illustration

Stryker a confirmé avoir subi en mars 2026 une attaque informatique de type wiper, c’est-à-dire une opération conçue pour effacer des données et rendre des postes inutilisables. D’après les éléments communiqués et les informations remontées par des personnes proches du dossier, l’action la plus visible a été l’effacement à distance de dizaines de milliers d’appareils internes, avec un chiffre évoqué proche de 80 000 dispositifs supprimés en quelques heures.

Point clé, et ça change tout pour les hôpitaux, l’entreprise affirme que ses produits, y compris ses technologies connectées et ses équipements vitaux, restent sûrs à utiliser. Le choc se situe ailleurs, dans l’informatique d’entreprise, les outils de commande, la facturation, l’expédition et la coordination industrielle. La reprise est en cours, mais sans calendrier précis, pendant qu’une équipe d’intervention spécialisée et des experts cybersécurité mènent l’enquête.

Stryker décrit un wiper, pas un rançongiciel

Dans sa communication, Stryker insiste sur un point, l’incident n’a pas le profil classique d’un rançongiciel. Pas de demande de rançon mise en avant, pas de négociation, pas de promesse de clé de déchiffrement. La logique est celle d’une attaque destructive, avec un objectif de blocage opérationnel. Ce choix tactique a une conséquence immédiate, tu ne « payes » pas pour récupérer, tu reconstruis, poste par poste, service par service.

Sur le plan concret, l’entreprise explique que ses produits n’ont pas été affectés et qu’ils restent utilisables. C’est un message destiné aux établissements de santé qui dépendent de son catalogue, implants, instruments chirurgicaux, technologies numériques et solutions connectées. Mais la sécurité d’un dispositif médical ne dépend pas uniquement de l’objet dans le bloc, elle dépend aussi du support, de la traçabilité, des mises à jour et des processus internes.

Le caractère wiper change aussi la lecture du risque. Un rançongiciel vise souvent la monétisation rapide, avec une pression temporelle. Un wiper vise la durée, il impose une remise en état longue, coûteuse, et parfois chaotique, car il n’y a pas de « sortie » technique simple. Dans un groupe mondial, le moindre outil central, annuaire, gestion des identités, messagerie, gestion des postes, devient un multiplicateur de panne.

Un expert du secteur, Marc L., consultant en réponse à incident, résume la différence en des termes très opérationnels, « quand tu as du ransomware, tu peux isoler, restaurer, arbitrer. Quand tu as du wiper, tu dois accepter que des machines sont mortes, et que la priorité devient l’inventaire, la réimage, la reprise des identités, puis seulement la reprise métier ». Ce type d’attaque met la gouvernance IT sous tension, surtout quand la production et l’expédition dépendent d’outils numériques.

Microsoft Intune aurait servi à effacer près de 80 000 appareils

Les informations techniques connues pointent une utilisation abusive de Microsoft Intune, un service cloud de gestion de terminaux, pour lancer une commande d’effacement à distance. Le scénario décrit est brutal par sa simplicité, pas besoin de déposer un malware sur chaque poste si tu contrôles l’outil qui administre ces postes. Entre 5 h et 8 h UTC le 11 mars, une vague de suppressions aurait touché des dizaines de milliers d’appareils.

Le cur du problème, c’est l’accès administrateur. Un compte aurait été compromis, puis un nouveau compte de type Global Administrator aurait été créé, ce qui revient à donner les clés du royaume dans un environnement Microsoft. Une fois ce niveau atteint, l’attaquant peut pousser des politiques, révoquer des sessions, modifier des règles de sécurité, et dans ce cas précis, déclencher des effacements. C’est un rappel froid, le cloud n’est pas « magique », il est aussi puissant que la discipline d’accès.

Pour une entreprise qui comptait 53 000 employés en 2024, la perte simultanée de dizaines de milliers d’appareils internes signifie une paralysie massive, plus de poste de travail, plus d’accès aux applications, plus d’authentification pour certains services, et des équipes IT qui doivent prioriser. Dans la vraie vie, ça se traduit par des services qui passent au téléphone, des validations manuelles, des tableaux de suivi improvisés, et une dépendance accrue aux équipes terrain.

L’enquête est menée avec l’appui de la Microsoft DART, l’équipe de détection et réponse, en collaboration avec des spécialistes, dont des experts de Palo Alto Unit 42. Ce type de mobilisation indique un incident de grande ampleur, où il faut à la fois comprendre la chaîne d’accès, vérifier l’étendue des actions administratives, et sécuriser la reprise. Et oui, c’est aussi un sujet de preuves, qui a fait quoi, quand, depuis quel compte, avec quelles traces.

Commandes manuelles et expéditions ralenties dans plusieurs pays

La conséquence la plus visible côté clients, ce n’est pas un appareil médical qui s’éteint dans un hôpital, c’est la chaîne commerciale qui se grippe. Stryker indique que ses systèmes de commande électroniques restent perturbés, avec un basculement vers des processus manuels via les représentants commerciaux. Concrètement, une commande qui passait en quelques clics peut se transformer en échanges de mails, appels, validations papier, et délais qui s’allongent.

L’entreprise affirme que toute commande passée avant l’incident sera honorée à mesure que les systèmes reviennent, et que celles passées pendant la période de disruption seront traitées quand l’infrastructure sera rétablie. C’est la version « contrat » du rétablissement, mais sur le terrain, ça veut dire du stock à vérifier, des priorités à arbitrer, et des équipes logistiques qui travaillent avec une visibilité partielle. Dans le médical, un retard d’expédition peut déplacer des plannings opératoires.

La reprise touche aussi la fabrication et l’expédition. Stryker explique travailler avec ses sites de production mondiaux pour limiter l’impact opérationnel. Dans une industrie où la conformité, la traçabilité et la documentation sont centrales, l’indisponibilité d’outils internes peut ralentir l’ensemble du flux, même si les machines de production tournent. Exemple simple, si les systèmes de transaction, d’étiquetage ou de libération qualité sont perturbés, l’expédition peut se retrouver bloquée.

Des témoignages rapportés dans la presse, attribués à des sources internes, évoquent une situation très difficile dans certains pays, dont l’Irlande, où l’entreprise emploie au moins 4 000 personnes. Le ressenti décrit est celui d’un arrêt quasi total, avec des employés incapables de travailler faute d’accès. Il faut garder une nuance, l’intensité peut varier selon les sites, mais l’idée générale est claire, une attaque sur l’IT corporate peut immobiliser une multinationale, même sans toucher les produits.

Handala revendique, Stryker ne confirme pas l’exfiltration

Un groupe présenté par des chercheurs comme lié à l’Iran, suivi sous le nom Handala, a revendiqué l’attaque. Dans ce type d’affaires, la revendication n’est pas une preuve, mais elle fait partie du brouillard informationnel que les entreprises doivent gérer, en interne et face aux clients. Le groupe affirme avoir effacé des systèmes et extrait des données, avec des chiffres spectaculaires, mais l’entreprise n’a pas validé ces éléments publiquement.

Handala a notamment avancé une exfiltration de 50 téraoctets de données « critiques ». À ce stade, il n’est pas établi publiquement si des données clients ont été affectées. C’est un point majeur, car une attaque destructive peut aussi être un écran de fumée pour masquer un vol, ou l’inverse, une revendication de vol peut servir à accroître la pression médiatique. Tant que l’analyse forensique n’est pas consolidée, la prudence reste la seule posture sérieuse.

Le contexte géopolitique est souvent mentionné par les analystes quand des groupes pro-iraniens revendiquent des actions contre des organisations occidentales. Des bulletins de sécurité décrivent Handala comme actif depuis fin 2023, avec des opérations motivées politiquement, parfois accompagnées de messages idéologiques. Ce n’est pas un détail décoratif, ça peut expliquer le choix du wiper, une tactique de nuisance plutôt qu’une tactique de profit immédiat.

Il y a aussi une critique à faire, sans tomber dans le procès d’intention, la communication publique d’un incident de cette ampleur est toujours incomplète au début. Entre l’obligation de sécuriser, l’obligation réglementaire, et la peur de donner des indices aux attaquants, les entreprises parlent par touches. Résultat, les clients et partenaires se retrouvent avec des informations fragmentaires. Dans un secteur aussi sensible que la santé, ce manque de visibilité crée de la tension, même si les dispositifs médicaux restent annoncés comme sûrs.

Le cas Stryker relance le débat sur la sécurité des environnements cloud

Cette attaque remet au centre une réalité, la surface d’attaque ne se limite plus aux serveurs « dans un bâtiment ». Quand la gestion des identités et des terminaux repose sur des consoles cloud, une compromission d’un compte à privilèges peut produire des effets globaux en quelques minutes. L’épisode Intune illustre un risque précis, une fonctionnalité légitime, l’effacement à distance, devient une arme si le contrôle d’accès est perdu.

Des recommandations circulent déjà dans l’écosystème sécurité, dont l’idée de soumettre les opérations à fort impact à une double validation, par exemple pour un effacement massif ou une modification de politiques. Dans un langage simple, tu évites qu’une seule session compromise puisse déclencher un événement irréversible. Ce n’est pas toujours facile à déployer, car ça ajoute de la friction, mais pour des actions de type « wipe », la friction est parfois un prix raisonnable.

Le cas Stryker montre aussi que la cybersécurité des dispositifs médicaux ne se joue pas uniquement dans le firmware ou dans la connectivité d’un appareil. Elle se joue dans les systèmes de support, de commande, de maintenance, de documentation, et dans la capacité d’un fabricant à continuer à servir les hôpitaux. Un wiper qui neutralise des postes internes peut ralentir des réponses, des expéditions de pièces, des validations, et donc créer un risque indirect pour la continuité de soins.

Enfin, l’incertitude sur le calendrier de restauration, mentionnée dans les déclarations réglementaires, rappelle un point, reconstruire après un wiper, c’est long. Réinstaller, réenrôler, réauthentifier, vérifier les journaux, durcir les accès, tout en remettant en route la facturation et l’expédition, ça ne se fait pas en un week-end. Et même quand ça repart, il reste souvent une phase de rattrapage, commandes en attente, retards logistiques, et audits internes qui vont durer des mois.

À retenir

  • Stryker confirme une attaque de type wiper ayant rendu inutilisables des dizaines de milliers d’appareils internes
  • Les produits médicaux de Stryker sont annoncés comme sûrs, mais les systèmes de commande et d’expédition restent perturbés
  • L’attaque aurait exploité Microsoft Intune après compromission d’un compte à privilèges, avec enquête menée avec Microsoft DART et Unit 42

Questions fréquentes

Quelle est la différence entre un wiper et un rançongiciel ?
Un rançongiciel chiffre les données pour obtenir un paiement, alors qu’un wiper vise la destruction ou l’effacement, ce qui impose une reconstruction technique longue sans “clé” de récupération.
Les dispositifs médicaux Stryker utilisés dans les hôpitaux ont-ils été touchés ?
Stryker indique que l’incident est limité à son environnement Microsoft interne et que l’ensemble de ses produits, y compris connectés, restent sûrs à utiliser.
Comment une attaque peut-elle effacer autant d’appareils sans malware ?
Si un attaquant obtient des privilèges élevés dans un outil de gestion de terminaux comme Microsoft Intune, il peut déclencher à distance des commandes légitimes d’effacement sur un grand nombre d’appareils enrôlés.
Pourquoi les commandes et expéditions sont-elles affectées si les produits ne le sont pas ?
Même sans impact sur les dispositifs, la vente, la facturation, la gestion des stocks et l’expédition dépendent de systèmes internes. Quand ces services sont indisponibles, les commandes basculent en manuel et les délais augmentent.
Le groupe Handala a-t-il vraiment volé 50 To de données ?
Handala a revendiqué une exfiltration de 50 To, mais cela n’a pas été confirmé publiquement par Stryker. Les investigations doivent établir ce qui a été consulté ou extrait, et si des données clients sont concernées.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer