Cyberattaque Stryker revendiquée par un groupe pro-iranien Une cyberattaque Stryker revendiquée par Handala Hack montre les risques des groupes pro-iraniens et les divers vecteurs utilisés, de l’ingénierie sociale au wiper. Une cyberattaque Stryker visant l'entreprise américaine d'équipements médicaux a été revendiquée par Handala Hack, un groupe pro-iranien.
Une cyberattaque Stryker visant l'entreprise américaine d'équipements médicaux a été revendiquée par Handala Hack, un groupe pro-iranien. L'incident a provoqué des perturbations globales de l'environnement Microsoft de la société, selon les déclarations publiques de l'entreprise et des médias spécialisés.
Spécialiste des dispositifs médicaux, Stryker a publié le 11 mars sur LinkedIn qu'aucune indication de ransomware ou de malware n'avait été constatée et que l'incident était maîtrisé. Des systèmes Windows auraient été touchés par un wiper, un logiciel destiné à détruire des données, et le logo des attaquants est apparu sur le matériel des employés selon le Wall Street Journal et l’Irish Examiner. Des employés basés au Costa Rica, en Australie, en Irlande et aux États‑Unis ont rapporté des écrans qui se vident à distance et des smartphones et ordinateurs vidés, nécessitant d'éteindre les appareils durant les phases de réponse.
Dans ce contexte, les États‑Unis et Israël avaient ouvert des hostilités contre l’Iran à partir du 28 février. Handala Hack affirme avoir visé Stryker pour ses liens supposés avec l’État hébreu, en rappelant l’acquisition par Stryker en 2019 de OrthoSpace, startup israélienne spécialisée dans les implants orthopédiques.
Qui est Handala Hack et quelles sont les implications?
Handala Hack est actif au moins depuis 2024 et s’est illustré par des campagnes visant des entités perçues comme soutenant Israël, recourant au phishing, au vol de données et, à l’occasion, à des rançongiciels et des extorsions. Le groupe affirme s’en prendre à des organisations internationales et à des sociétés de différents pays, motivé par des causes politiques liées au conflit israélo‑palestinien.
Au‑delà de ce cas singulier, des chercheurs ont repéré d’autres activités malveillantes des acteurs proches de l’Iran dans des réseaux américains, israéliens et canadiens. Des rapports publiés par Symantec et Carbon Black pointent MuddyWater — aussi appelé SeedWorm ou Static Kitten — comme un acteur lié au ministère iranien du renseignement et de la sécurité. Les campagnes remontent à février, avec des mouvements plus récents après les hostilités entre les États‑Unis, Israël et l’Iran.
MuddyWater et les tactiques observées
Selon les analyses, MuddyWater a mené des opérations d’ingénierie sociale, notamment du spear‑phishing et des campagnes « honeytrap » destinées à gagner la confiance des cibles et obtenir des accès à des comptes ou à des informations sensibles. En 2025, l’équipe aurait orchestré une attaque complexe utilisant une backdoor sur mesure contre diverses entités internationales situées au Moyen‑Orient et en Afrique du Nord, touchant potentiellement des organisations gouvernementales et des universités.
Les rapports soulignent que ces acteurs se sont améliorés sur le plan technique et opérationnel, élargissant leurs arsenaux et leurs méthodes de persuasion pour atteindre leurs objectifs, tout en restant focalisés sur des cibles transnationales liées à des secteurs sensibles comme l’espace, la défense ou les infrastructures.
Ce que cela change et ce qu’on ignore encore
Cette attaque rappelle que les risques cyber avec une dimension politique ne se limitent pas à un seul incident isolé. Pour Stryker, l’affaire n’a apparemment pas affecté les produits médicaux et l’entreprise affirme maintenir sa continuité opérationnelle, mais les perturbations démontrent l’importance d’une préparation robuste et d’une résilience des systèmes critiques face à des groupes étatiques et pro‑étatiques.
À moyen terme, ces événements pourraient influencer les décisions d’investissement et les plans de cybersécurité des entreprises actives à l’interface entre santé, défense et technologies, tout en posant la question des mesures préventives et des capacités de détection précoce.
Pour terminer
Une chose est claire: les acteurs pro‑iraniens restent actifs dans le paysage cyber et multiplient les attaques contre des cibles perçues comme soutenant des États adverses. La question demeure: jusqu’où iront ces campagnes et quelles seront les réponses coordonnées entre entreprises et agences de cybersécurité pour limiter l’étendue des dégâts?
