En bref

  • Le groupe Handala, officiellement attribué au ministère du Renseignement iranien (MOIS), a effacé plus de 200 000 appareils de Stryker Corporation via Microsoft Intune
  • Systèmes Windows gérés par Azure AD et Intune impactés dans 79 pays — appareils BYOD inclus — et 50 To de données exfiltrées
  • Action immédiate requise : auditer les droits d'accès Intune, activer le MFA FIDO2 sur tous les comptes privilégiés, surveiller les journaux d'audit Azure AD

Le 20 mars 2026, le Département de Justice américain a officiellement inculpé le ministère du Renseignement iranien (MOIS) d'opérer sous le nom du groupe hacktiviste Handala, quelques heures après que le FBI a saisi les domaines web de ce collectif ainsi que ceux d'une seconde persona baptisée « Justice Homeland ». Cette annonce fait suite à une cyberattaque dévastatrice revendiquée le 11 mars 2026 contre Stryker Corporation, l'un des plus grands fabricants mondiaux de dispositifs médicaux, présent dans 79 pays et employant plus de 50 000 personnes. L'attaque constitue un cas d'école particulièrement préoccupant pour les équipes de sécurité : aucun malware conventionnel n'a été utilisé. Les attaquants ont exploité les fonctionnalités légitimes de Microsoft Intune et d'Azure Active Directory pour effacer à distance plus de 200 000 systèmes — postes de travail, serveurs, et appareils mobiles personnels inscrits en BYOD — paralysant instantanément les opérations mondiales de l'entreprise et contraignant ses employés à fermer physiquement leurs bureaux. Simultanément, 50 téraoctets de données critiques ont été exfiltrés, comprenant du code source propriétaire, des données de ressources humaines et des dossiers médicaux sensibles, avant qu'une rançon ne soit exigée et refusée.

Les faits : une attaque wiper sans précédent via Microsoft Intune

Selon les analyses du chercheur en sécurité Kevin Beaumont et les informations publiées par Krebs on Security, les attaquants ont d'abord compromis les services Active Directory de Stryker, probablement via une campagne de phishing ciblé ou l'exploitation de credentials préalablement volés. Une fois à l'intérieur du réseau, ils ont obtenu des droits d'administration sur Microsoft Intune — la plateforme MDM de Microsoft — et ont émis des commandes de wipe à distance massives sur l'ensemble du parc géré. Cette technique dite « living-off-the-land » est particulièrement redoutable car elle exploite des outils légitimes que les solutions de sécurité classiques ne signalent pas comme malveillants. Le DOJ a également indiqué que le groupe agissait en représailles déclarées à une frappe aérienne américaine contre une école iranienne, selon les informations relayées par TechCrunch. La saisie des domaines par le FBI marque une escalade significative dans la réponse américaine aux cyberopérations iraniennes.

Impact et exposition : au-delà de Stryker

Cette attaque révèle une surface d'exposition critique pour toutes les organisations ayant déployé Microsoft Intune et Azure Active Directory. Si un attaquant obtient des droits d'administration sur une console Intune, il peut légitimement effacer n'importe quel appareil inscrit — y compris les appareils personnels des employés en BYOD. Les secteurs les plus exposés sont la santé, la défense, l'énergie et les infrastructures critiques. En France, les établissements de santé et les OIV (Opérateurs d'Importance Vitale) ayant déployé Microsoft 365 doivent considérer ce scénario comme une menace crédible immédiate. Pour approfondir, consultez notre analyse des 4 zero-days critiques du Patch Tuesday février 2026 ainsi que notre dossier complet sur le guide de durcissement Active Directory publié par Microsoft. La sécurisation des consoles d'administration cloud est également abordée dans notre article sur la protection CSP dans Entra ID. Ce vecteur d'attaque par outil de gestion légitime rejoint les tendances documentées dans notre bilan du RSAC 2026.

Recommandations techniques urgentes

  • Auditer immédiatement les comptes disposant de droits d'administration sur Microsoft Intune — appliquer strictement le principe du moindre privilège
  • Activer l'authentification multi-facteur résistante au phishing (FIDO2/passkeys) sur tous les comptes privilégiés Microsoft 365 et Azure AD
  • Configurer des politiques de Conditional Access strictes pour bloquer les connexions depuis des localisations ou appareils non conformes
  • Implémenter des verrous d'approbation multi-niveaux sur les commandes de wipe à distance dans Intune (minimum deux administrateurs requis)
  • Surveiller en continu les journaux d'audit Azure AD pour détecter toute commande de wipe ou réinitialisation d'appareil non planifiée
  • Pour les appareils BYOD : évaluer si le niveau de privilège accordé est proportionné au risque — restreindre les politiques de wipe aux appareils corporate uniquement
  • Consulter les IOC publiés par le FBI concernant Handala et Justice Homeland pour mettre à jour vos règles SIEM

Point clé à retenir

L'attaque Handala contre Stryker démontre qu'un accès compromis à une console MDM cloud comme Microsoft Intune peut déclencher la destruction simultanée de centaines de milliers d'appareils sans aucun malware. Protéger ces consoles d'administration est désormais un enjeu de résilience opérationnelle pour toute organisation d'envergure.

Comment savoir si notre console Intune est exposée à ce type d'attaque wiper ?

Commencez par auditer la liste des comptes ayant des rôles d'administrateur Intune dans le portail Azure AD et vérifiez que le MFA est activé pour chacun d'eux. Examinez l'historique des connexions pour détecter des activités depuis des pays ou des appareils inhabituels. Contrôlez ensuite les journaux d'audit Intune (portail Endpoint Manager) pour identifier toute commande de wipe, reset ou retrait d'appareil non planifiée. Enfin, assurez-vous que des politiques de Conditional Access empêchent l'accès administrateur depuis des environnements non conformes.

Les données des appareils effacés à distance via Intune sont-elles récupérables ?

Non, dans la grande majorité des cas. Un wipe complet via Intune réinitialise l'appareil aux paramètres d'usine — toutes les données locales sont perdues définitivement. Seules les données synchronisées dans le cloud (OneDrive, Exchange, SharePoint) peuvent être récupérées si les comptes associés restent actifs. Les données locales non sauvegardées — documents de travail, configurations locales — sont irrécupérables. C'est pourquoi les politiques de sauvegarde automatique cloud sont essentielles, même pour les appareils personnels inscrits en BYOD.

Votre infrastructure Microsoft est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés de vos configurations Azure AD, Intune et Microsoft 365 pour identifier et corriger vos vulnérabilités avant qu'un attaquant ne les exploite.

Demander un audit