TL;DR : L’essentiel
- Le collectif Handala, identifié comme une émanation des services de renseignement iraniens, revendique la suppression de 200’000 systèmes informatiques chez Stryker, paralysant les activités médicales de cette entreprise dans 79 pays différents.
- L’attaque contre Stryker aurait provoqué l’exfiltration de 50 téraoctets de données sensibles et une chute immédiate d’un peu plus de 3% de l’action boursière, confirmant l’impact économique majeur de cette opération numérique.
- Sous couvert d’activisme pro-palestinien, ce gang utilise des logiciels destructeurs nommés wipers pour effacer les fichiers des victimes, une méthode déjà employée contre des infrastructures critiques israéliennes et des administrations albanaises.
- La compromission a notamment visé les systèmes de gestion d’appareils mobiles Microsoft Intune, permettant aux assaillants d’effacer à distance des ordinateurs portables et des téléphones professionnels appartenant aux employés du groupe médical.
L’escalade des tensions géopolitiques se traduit désormais par des offensives numériques d’une ampleur inédite contre des acteurs économiques civils. L’opération menée contre la multinationale Stryker, spécialisée dans les technologies médicales, marque une nouvelle escalade dans l’utilisation du cyber-activisme comme façade pour des actions étatiques destructrices. En ciblant une infrastructure de santé d’envergure globale, les assaillants démontrent leur capacité à transformer des outils de gestion informatique standard en vecteurs de paralysie massive, affectant la disponibilité des soins et la sécurité des données à travers le monde.
Handala masque ses racines étatiques sous l’activisme
Bien que le groupe se présente publiquement comme un collectif indépendant de défense de la cause palestinienne, les analystes identifient Handala comme une façade du ministère iranien du Renseignement et de la Sécurité. Ce groupe, également suivi sous l’appellation Void Manticore ou Red Sandstorm, utilise l’imagerie d’un célèbre personnage créé par un dessinateur politique palestinien pour légitimer ses actions. Cette stratégie de dissimulation permet à Téhéran de mener des attaques de grande intensité tout en conservant une possibilité de dénégation, comme le souligne WIRED.
L’organisation fait preuve d’une agilité technique notable pour contourner les restrictions locales, utilisant notamment la connectivité par satellite Starlink pour maintenir ses communications lors des coupures d’internet en Iran. Ces méthodes permettent au groupe de diffuser sa propagande et de revendiquer ses succès sur des canaux sécurisés malgré la surveillance accrue. Cette résilience technique est devenue une signature du groupe, lui permettant de coordonner ses fuites de données et ses opérations de défaçage de sites web sans interruption majeure.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Au-delà de la simple communication, cette unité s’inscrit dans une structure plus large où d’autres groupes étatiques se chargent de l’infiltration initiale via des vulnérabilités logicielles. Une fois l’accès obtenu, les identifiants d’administration sont transférés aux opérateurs de Handala pour la phase de destruction. Ce découpage des tâches témoigne d’une professionnalisation rigoureuse propre aux services de renseignement, où chaque cluster de menace joue un rôle spécifique dans la chaîne d’attaque.
Stryker subit une paralysie logicielle massive et mondiale
L’attaque a frappé Stryker, une entreprise dont le chiffre d’affaires annuel dépasse les 22 milliards de dollars, avec une violence technique rare. Les employés ont découvert le logo de Handala s’affichant directement sur leurs pages de connexion Entra, signalant la perte de contrôle des accès sécurisés de la société. Selon les informations rapportées par SecurityAffairs, le groupe a réussi à effacer à distance le contenu de près de 200’000 terminaux, rendant le travail impossible dans les bureaux répartis sur plusieurs continents.
Cette opération ne s’est pas limitée au simple blocage des accès, car elle aurait aussi entraîné l’extraction de 50 téraoctets de données d’entreprise hautement confidentielles. Pour les salariés, l’incident s’est manifesté de manière très concrète : les ordinateurs portables se sont réinitialisés spontanément pendant la nuit, effaçant l’intégralité des dossiers de travail et des applications métiers indispensables. Cette remise à zéro forcée a obligé les techniciens à tenter une restauration massive des systèmes alors que l’infrastructure réseau elle-même était compromise.
Opération Epic Fury : L'Iran subit un blackout numérique total
Les frappes conjointes américaines et israéliennes sur l'Iran entraînent une coupure d'Internet massive, paralysant les infrastructures de communication. Lire la suite
Cette méthode de sabotage transforme un outil de maintenance légitime, en l’occurrence la solution de gestion de parc Microsoft Intune, en une arme capable d’atteindre des cibles mondiales en quelques secondes. En exploitant les droits d’administration centralisés, les assaillants ont pu envoyer des commandes de suppression de données à tous les appareils connectés au réseau d’entreprise. Cette approche démontre une compréhension fine des architectures de gestion du cloud utilisées par les grandes multinationales pour administrer leurs flottes d’appareils à l’échelle internationale.
L’arsenal technique privilégie la destruction de données
Le groupe Handala se distingue par l’utilisation systématique de logiciels malveillants dont l’unique fonction est de rendre les données irrécupérables en les écrasant physiquement. Les chercheurs de SOCRadar ont identifié plusieurs variantes personnalisées comme Coolwipe, Chillwipe ou encore Bibiwiper, ce dernier étant nommé en référence à un dirigeant politique israélien. Ces outils ne cherchent pas à obtenir une rançon, mais visent à infliger une douleur opérationnelle maximale et un coût financier important à la victime.
Avant de paralyser Stryker, le groupe s’était déjà illustré par des actions à fort impact, notamment en piratant les systèmes d’alerte de plus de 20 jardins d’enfants. Lors de cet incident, les hackers ont activé les sirènes de raid aérien et diffusé des messages de menace en langue arabe via les haut-parleurs des établissements. Cette volonté de terroriser les populations civiles montre que le groupe cherche autant à déstabiliser l’ordre public qu’à détruire les actifs numériques de ses adversaires institutionnels ou commerciaux.
La panoplie offensive inclut également le vol d’informations stratégiques, comme les 2 téraoctets de données dérobés à la police israélienne comprenant des inventaires d’armes et des profils psychologiques. Qu’il s’agisse de compromettre des terminaux de paiement Verifone ou d’extraire des archives de centres de recherche nucléaire, l’objectif reste de saturer les capacités de réaction des équipes de défense. Cette combinaison de sabotage technique et de guerre de l’information confirme le rôle central de Handala dans la stratégie de représailles numériques de Téhéran.
L’offensive contre Stryker confirme que la frontière entre cybercriminalité et conflit étatique est désormais totalement très poreuse. La sophistication croissante des méthodes de dissimulation et la puissance des outils de destruction utilisés suggèrent que ce type de campagne est donc appelé malheureusement à se multiplier.
Pour approfondir le sujet
Iran-Israël : SOCRadar cartographie la cyberguerre en temps réel
Découvrez le dashboard de SOCRadar qui suit en temps réel la cyberguerre Iran-Israël et analyse les menaces pesant sur les infrastructures critiques mondiales. Lire la suite
L'IA accélère les frappes pendant que l'Iran contre-attaque en ligne
Les États-Unis et Israël déploient l'intelligence artificielle pour accélérer renseignement, ciblage et planification militaires. En réaction, les hackers iraniens lancent espionnage massif, DDoS et malwares contre les infrastructures régionales et occidentales. Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
