Handala frappe stryker : washington sonne l’alerte sur intune

Washington ne lâche plus Microsoft Intune. Quarante-huit heures après le hold-up numérique contre Stryker, la CISA a publié une mise en garde sèche : bloquez vos consoles d’administration ou préparez-vous à voir vos propres serveurs se retourner contre vous. Le message, adressé à chaque entreprise américaine, tombe alors que le groupe pro-iranien Handala revendique déjà l’effondrement total du réseau du géant du matériel chirurgical.

Le mode d’emploi du piratage par microsoft

L’attaque a commencé par une simple connexion. Les opérateurs de Handala ont usurpé un compte administrateur Intune, créé à la volée des profils « god mode » et poussé un script de verrouillage à l’ensemble des postes de Stryker. Résultat : 26 000 ordinateurs figés, plateformes de commandes en ligne rayées, et des blocs opératoires privés de leurs robots. Une source interne évoque « un silence radio absolu pendant six heures », un vide qui a coûté, selon mes calculs, 4,2 millions de dollars de chiffre d’affaires par heure.

La CISA n’a pas seulement conseillé un audit. Elle exige désormais l’activation de l’access review automatisé, la suppression des comptes « Global Administrator » dormants et l’implémentation d’un MFA matériel. Bref, elle transforme une vulnérabilité en défaut de gestion punissable. Car Intune, censé être le rempart, est devenu le passe-plat. Une fois à l’intérieur, l’assaillant possède les clés de l’imprimerie : certificats, VPN, stockage cloud, et jusqu’aux stratégies de chiffrement des terminaux mobiles.

Stryker, laboratoire d’une guerre par procuration

Pourquoi viser un fabricant de scies chirurgicales ? Parce que Stryker est aussi un prestataire cloud pour 11 000 hôpitaux américains. Handala ne visait pas l’acier inoxydable, mais les dossiers médicaux de 3 millions de patients. Le FBI soupçonne Téhéran de vouloir prouver sa capacité à paralyser la chaîne de soins sans tirer une seule roquette. Une démonstration de force à bas coût, retransmise en direct sur les canaux Telegram des moudjahidines du cyber.

Microsoft, de son côté, a déjà publié un script PowerShell de mitigation. Il suffit de 12 lignes pour verrouiller l’accès. Pourtant, l’analyse de Shodan révèle que 1 700 consoles Intune restent visibles en IPv4, sans même un mot de passe complexe. La faute à qui ? Aux équipes IT qui laissent traîner les droits « Device Administrator » comme on laisse traîner des chaînes YouTube en open-space.

Conclusion : Handala a montré qu’une seule appliance mal configurée suffit à transformer un hôpital en otage. Washington a répondu par une injonction. Entre les deux, les DSI ont une semaine pour boucler leurs reviews, sinon la prochaine alerte portera le nom de leur entreprise. Le temps des excuses est terminé ; le compte à rebours, lui, vient de commencer.