Il a suffi d’un navigateur, d’un identifiant administrateur et d’un clic dans une console cloud. Le 11 mars 2026, entre 5 heures et 8 heures du matin (heure universelle), le groupe hacktiviste pro-iranien Handala Hack a effacé à distance près de 80 000 appareils de Stryker Corporation, l’un des leaders mondiaux des technologies médicales.
Pas de ransomware. Pas de virus. L’attaque a utilisé les propres outils de l’entreprise contre elle-même.
Une méthode d’attaque inédite
Handala Hack a compromis un compte administrateur de Microsoft Intune, la plateforme cloud utilisée par Stryker pour gérer ses appareils à distance. Les hackers ont créé un nouveau compte Global Administrator, puis déclenché la commande « wipe » native d’Intune — celle-là même qui sert à réinitialiser un appareil perdu ou volé.
En trois heures, tous les appareils enrôlés dans le système ont été réinitialisés aux paramètres d’usine. Check Point Research et Palo Alto Networks ont confirmé l’attribution à Handala Hack, une persona liée au Ministère iranien du Renseignement et de la Sécurité (MOIS).
Le groupe revendique 200 000 systèmes effacés et 50 téraoctets exfiltrés. Stryker a confirmé environ 80 000 appareils touchés. La Foundation for Defense of Democracies (FDD) note que les hackers pro-régime iraniens tendent à exagérer leurs revendications. Cette attaque s’inscrit dans une offensive cyber iranienne plus large ciblant l’Europe.
Des chirurgies reportées dans le monde entier
Le 18 mars 2026, Stryker a confirmé à Bloomberg que l’attaque avait retardé des chirurgies. Les perturbations touchent les commandes, la fabrication et les expéditions. Les systèmes de commande numérique restent partiellement hors service au 19 mars.
Les chirurgies les plus affectées sont celles qui nécessitent des implants personnalisés, fabriqués sur mesure à partir d’imagerie 3D : implants crâniens, prothèses de hanche, de genou et d’épaule planifiées avec précision.
Une fillette de 5 ans en attente
Bloomberg rapporte le cas d’un hôpital du Tennessee où la chirurgie d’une fillette de 5 ans a été reportée. L’enfant devait recevoir un implant crânien sur mesure pour remplacer une partie du crâne. L’implant n’a pas pu être livré.
CommonSpirit Health, l’un des plus grands réseaux hospitaliers américains, a confirmé un « petit nombre de cas retardés ». Stryker précise que ses produits connectés déjà installés dans les hôpitaux sont opérationnels et sûrs. L’attaque a touché l’environnement informatique interne, pas les dispositifs médicaux eux-mêmes.
Qui est Handala Hack ?
Handala est le personnage de bande dessinée créé par le caricaturiste palestinien Naji al-Ali, symbole de la résistance. Le groupe hacktiviste qui porte son nom est apparu fin 2023.
Les sociétés de cybersécurité Check Point et Palo Alto l’identifient comme une persona de Void Manticore, un acteur affilié au MOIS iranien. Son mode opératoire combine des attaques destructrices par wiper (effacement total) et des opérations de type « hack and leak » (exfiltration et publication de données).
Ce que risquent les hôpitaux français
Stryker est présent dans de nombreux établissements de santé français. Au moins six hôpitaux et cliniques sont équipés du robot chirurgical Mako.
Des médias spécialisés ont confirmé le 13 mars que Stryker et Intuitive (fabricant du robot chirurgical Da Vinci) avaient tous deux subi des cyberattaques affectant leurs systèmes d’information. Les deux plus grands fabricants de robots chirurgicaux frappés simultanément.
L’ANSSI tire la sonnette d’alarme
Par une coïncidence saisissante, l’ANSSI a publié son Panorama de la cybermenace 2025 le 11 mars 2026, le jour même de l’attaque Stryker. Le rapport classe le secteur de la santé au troisième rang des cibles prioritaires en France.
En 2025, 8 % des victimes de rançongiciels en France étaient des établissements de santé. L’ANSSI a recensé 128 attaques par rançongiciel et 196 cas d’exfiltration de données. Le gouvernement a lancé le programme CaRE (Cyber Résilience des Acteurs de santé) pour renforcer les défenses du secteur.
De Shamoon à Stryker : l’évolution de la doctrine iranienne
L’attaque s’inscrit dans une lignée qui remonte à 2012, lorsque le wiper iranien Shamoon avait effacé les données de 30 000 systèmes chez Saudi Aramco. Mais la méthode a radicalement évolué. Shamoon nécessitait de déployer un malware sur chaque machine. Stryker a été neutralisé avec un navigateur et un identifiant.
Le 18 mars, la CISA (agence américaine de cybersécurité) a publié une alerte urgente demandant à toutes les organisations de durcir leurs systèmes Microsoft Intune. Recommandations : principe du moindre privilège, authentification multifacteur, approbation par un second administrateur pour toute action sensible.
Tout hôpital utilisant un système de gestion d’appareils à distance dans le cloud est potentiellement vulnérable au même schéma d’attaque. Le conflit au Moyen-Orient ne se joue plus seulement sur le terrain militaire.
