Un groupe de hackers lié à l’Iran a revendiqué la responsabilité d’une cyberattaque contre une entreprise de technologie médicale, dans ce qui semble être le premier cas significatif de piratage iranien d’une entreprise américaine depuis le début de la guerre entre les deux pays.

La société Stryker, dont le siège social est situé dans le Michigan, produit une gamme d’équipements et de technologies médicales.

Historiquement, l’Iran a mené certaines des cyberattaques les plus tristement célèbres contre ses ennemis nationaux, dans le but d’effacer simplement toutes les données des réseaux informatiques. Les victimes comprennent Aramco saoudiennela compagnie pétrolière nationale d’Arabie Saoudite, en 2012, et la Casino des Sables en 2014.

Depuis le début de la guerre, certains groupes de hackers bien établis et favorables aux dirigeants iraniens ont revendiqué des attaques mineures, mais la plupart ont été reléguées à de brèves modifications de l’apparence d’un site Web et aucune ne semble avoir eu un impact majeur. Certaines sociétés de technologie et de cybersécurité, dont Google et la société de cybersécurité de courrier électronique Proofpoint, ont déclaré à NBC News qu’elles avaient largement vu des pirates informatiques iraniens mener des activités d’espionnage liées à la guerre.

Mais cela semble avoir changé mercredi, avec ce qui semble avoir été un type d’attaque différent qui a également supprimé des informations sur les appareils. Un employé de Stryker, qui a demandé à ne pas être identifié car il n’est pas autorisé à parler au nom de l’entreprise, a déclaré que les téléphones professionnels des employés ont cessé de fonctionner, entraînant l’arrêt du travail et des communications avec les collègues.

L’équipe Handala a revendiqué la responsabilité du piratage de Stryker dans des déclarations publiées sur ses comptes Telegram et X. Le groupe se vante régulièrement de ses exploits sur les réseaux sociaux, qui ont supprimé ces derniers jours les versions précédentes de leurs comptes.

Les détails de la manière dont le piratage a été mené ne sont pas clairs. Mais les preuves publiques du piratage indiquent la probabilité que des pirates aient eu accès au compte Microsoft Intune de l’entreprise, que l’employé a confirmé que Stryker utilise. À partir de là, Handala semble avoir rétabli les paramètres d’usine des appareils de certains employés, a déclaré un expert.

« Ils semblent avoir obtenu l’accès à la console de gestion Microsoft Intune. Il s’agit d’une solution pour gérer les appareils d’entreprise », a déclaré Rafe Pilling, directeur du renseignement sur les menaces de la société de cybersécurité Sophos, qui a lié Handala au ministère iranien du renseignement.

« L’une des fonctionnalités est la possibilité d’effacer à distance un appareil s’il est perdu/volé, etc. On dirait qu’ils ont déclenché cela pour certains ou tous les appareils inscrits », a-t-il déclaré.

Le site Web de Microsoft décrit la fonction d’effacement à distance comme « couramment utilisée lorsqu’un appareil doit être retiré, réutilisé, réinitialisé pour le dépannage ou effacé en toute sécurité en cas de perte ou de vol ».

Dans un communiqué publié mercredi sur son site Internet, Stryker a déclaré que la perturbation était due à une cyberattaque, mais que ses propres systèmes n’avaient pas été directement piratés et que les ransomwares – un type courant de cybercriminalité qui peut également perturber de manière significative les réseaux des entreprises – n’étaient pas un facteur.

« Stryker subit une perturbation mondiale du réseau de notre environnement Microsoft à la suite d’une cyberattaque. Nous n’avons aucune indication de ransomware ou de malware et pensons que l’incident est contenu », indique le communiqué.

La société n’a pas répondu à une demande de détails supplémentaires. Microsoft n’a pas répondu à une demande de commentaire.