Intune utilisé comme arme : l'attaque qui a effacé 200 000 appareils chez Stryker

Votre outil de gestion peut devenir une arme : la leçon de l'attaque Stryker

Le 11 mars 2026, des milliers d'ordinateurs et de téléphones s'éteignent simultanément dans 79 pays. Les écrans affichent un logo inconnu. Les fichiers ont disparu. Dans certains hôpitaux américains, des opérations chirurgicales sont retardées. L'entreprise visée est Stryker, l'un des leaders mondiaux des technologies médicales.

Zéro malware. Zéro ransomware. Zéro virus.

Alors comment est-ce possible ? Et surtout : votre organisation est-elle exposée au même risque ?

Ce qui s'est passé chez Stryker

Le groupe Handala, lié au ministère du renseignement iranien, n'a pas eu besoin d'un outil offensif sophistiqué. Il a utilisé le vôtre.

Après avoir compromis un compte administrateur, les attaquants ont créé un nouveau compte Global Administrator dans Entra ID, le système de gestion des identités Microsoft. De là, ils ont accédé à la console Microsoft Intune, l'outil que vos équipes IT utilisent chaque jour pour gérer votre flotte d'appareils mobiles et ordinateurs.

En quelques clics, ils ont déclenché la commande "Remote Wipe", celle-là même qui sert à effacer un téléphone perdu ou volé. En quelques minutes : plus de 200 000 appareils réinitialisés aux paramètres d'usine. Instantanément. Silencieusement. Sans déclencher la moindre alerte antivirus.

La CISA, l'agence américaine de cybersécurité, a immédiatement émis une alerte nationale et demandé à toutes les organisations utilisant Intune de durcir leur configuration.

Pourquoi cette attaque est-elle différente des autres ?

La plupart des entreprises organisent leur cybersécurité autour d'un paradigme simple : bloquer les logiciels malveillants. Antivirus, EDR, filtrage email — toute la stack de sécurité traditionnelle cherche à détecter un code malveillant.

L'attaque Stryker contourne complètement ce modèle. Les attaquants n'ont injecté aucun code. Ils se sont connectés avec des identifiants légitimes et ont exécuté des actions légitimes dans un outil légitime. Du point de vue du système de sécurité : tout était normal.

Ce type d'attaque, souvent appelé "Living off the Land", est en forte progression. Elle exploite non pas des failles logicielles, mais des failles de gouvernance : des droits trop larges, une authentification insuffisante, et une absence de contrôles sur les actions à fort impact.

Les 3 mesures à appliquer maintenant dans votre environnement Microsoft

Ces protections ne nécessitent pas de budget supplémentaire. Les outils sont déjà inclus dans vos licences Microsoft. Il suffit de les activer et de les configurer correctement.

1. Multi Admin Approval sur Intune

Toute action critique, wipe d'appareils, déploiement de scripts, modification des droits RBAC, doit nécessiter la validation explicite d'un second administrateur avant exécution. Cette mesure seule aurait bloqué l'attaque Stryker : un seul compte compromis n'aurait pas suffi.

2. MFA résistant au phishing sur tous les comptes privilégiés

Le MFA classique (SMS, application TOTP) reste contournable par phishing. Pour les comptes Global Administrator et Intune Administrator, imposez une méthode résistante au phishing via Entra ID : clé FIDO2, Windows Hello for Business ou certificat. Ces comptes sont les clés de votre infrastructure, ils méritent le niveau de protection le plus élevé.

3. Least Privilege : des droits strictement nécessaires

Un administrateur Intune n'a pas besoin des droits Global Administrator. Appliquez le principe du moindre privilège : chaque compte ne doit avoir accès qu'aux ressources et actions nécessaires à son rôle. En cas de compromission, les dégâts potentiels sont ainsi limités.

FAQ

Un antivirus à jour aurait-il pu empêcher cette attaque ? Non. Les attaquants n'ont utilisé aucun logiciel malveillant. Ils ont exploité des outils Microsoft légitimes avec des identifiants valides. Les antivirus et EDR n'avaient rien à détecter.

Mon organisation est-elle concernée si elle utilise Intune ? Oui, si vous utilisez Microsoft Intune pour gérer vos appareils, vous êtes potentiellement exposé au même vecteur d'attaque. L'enjeu n'est pas la taille de l'entreprise mais la configuration de votre environnement Microsoft 365.

Combien de temps faut-il pour mettre en place ces 3 mesures ? Ces configurations sont réalisables en quelques heures par un administrateur Intune / Entra ID compétent. Elles sont incluses dans vos licences Microsoft existantes, sans surcoût.

Comment savoir si nos comptes administrateurs sont déjà sécurisés ? Un audit de configuration de votre environnement Microsoft 365 permet d'identifier précisément les points de faiblesse. C'est l'objet de notre audit Microsoft 365.

Qu'est-ce que le principe du Least Privilege et comment l'appliquer ? Le Least Privilege consiste à attribuer à chaque utilisateur et administrateur uniquement les droits dont il a besoin pour son travail. Dans Entra ID, cela passe par l'utilisation de rôles dédiés (Intune Administrator, Helpdesk Administrator, etc.) plutôt que Global Administrator.

Conclusion : vos outils sont vos forces — et vos failles potentielles

L'attaque Stryker est un signal d'alarme pour toutes les organisations utilisant Microsoft 365. Ce n'est pas une question de budget sécurité. C'est une question de configuration.

Chez INTRUZION, nous réalisons des audits de sécurité Microsoft 365 qui analysent précisément ces points de vulnérabilité : gestion des identités, droits administrateurs, politiques Intune, conformité Entra ID. En une journée, vous savez exactement où vous en êtes, et ce qu'il faut corriger.

Vous utilisez Microsoft 365 et souhaitez savoir si votre configuration résisterait à ce type d'attaque ? Contactez notre équipe pour un premier échange sans engagement.