Systèmes médicaux Stryker effacés par exploitation d'Intune
L'Agence de cybersécurité et de sécurité des infrastructures a émis un avis d'urgence le 19 mars 2026, avertissant les organisations américaines de renforcer immédiatement leurs configurations Microsoft Intune après qu'une cyberattaque sophistiquée ait ciblé le géant de la technologie médicale Stryker Corporation. L'attaque a exploité des faiblesses dans les capacités de gestion des points de terminaison d'Intune pour effacer à distance des systèmes critiques de dispositifs médicaux dans plusieurs installations de Stryker.
Selon le catalogue des vulnérabilités exploitées connues de la CISA, les attaquants ont tiré parti de politiques Intune mal configurées pour obtenir un contrôle administratif sur les appareils inscrits. Les acteurs de la menace ont ensuite exécuté des effacements massifs d'appareils qui ont affecté les systèmes de gestion des équipements chirurgicaux de Stryker, les dispositifs de surveillance des patients et l'infrastructure de suivi des stocks. L'attaque s'est produite entre le 15 et le 17 mars 2026, Stryker découvrant la violation lorsque le personnel médical a signalé des pannes généralisées d'appareils dans leurs réseaux hospitaliers partenaires.
Le service Intune de Microsoft, qui gère plus de 200 millions d'appareils dans le monde, permet aux administrateurs informatiques de configurer, mettre à jour et effacer à distance les appareils d'entreprise. L'incident de Stryker représente le premier cas connu où des attaquants ont utilisé les fonctions légitimes de gestion des appareils d'Intune pour causer des impacts destructeurs sur l'infrastructure critique de santé. L'avis de la CISA mentionne spécifiquement que les attaquants ont exploité des configurations par défaut d'Intune qui manquaient de contrôles d'accès conditionnels appropriés et de politiques de conformité des appareils.
La méthodologie d'attaque impliquait de compromettre le locataire Azure Active Directory de Stryker par des attaques de bourrage d'identifiants ciblant des comptes de service avec des permissions Intune excessives. Une fois à l'intérieur du locataire, les attaquants ont créé des profils de configuration d'appareils malveillants qui semblaient légitimes pour les outils de surveillance de la sécurité mais contenaient des commandes pour initier des effacements sélectifs de dispositifs médicaux de grande valeur. Le timing a coïncidé avec une mise à jour planifiée de la politique Intune, permettant aux configurations malveillantes de se déployer sans déclencher d'alertes immédiates.
Les organisations de santé utilisant Intune font face à un risque accru
La violation de Stryker a directement impacté environ 2 400 dispositifs médicaux dans 180 systèmes hospitaliers aux États-Unis, selon les évaluations préliminaires des dommages. Les systèmes affectés comprenaient des machines IRM, des robots chirurgicaux, des ventilateurs pour patients et des équipements de surveillance des soins critiques qui dépendaient d'Intune pour la gestion à distance et les mises à jour logicielles. Les effacements d'appareils ont forcé plusieurs hôpitaux à reporter des procédures non urgentes et à revenir à des protocoles de surveillance manuelle pour les patients en soins intensifs.
L'avertissement de la CISA s'étend au-delà de Stryker pour englober toutes les organisations américaines utilisant Microsoft Intune pour la gestion des appareils, en particulier celles dans les secteurs de la santé, de la fabrication et des infrastructures critiques. Les organisations utilisant Intune avec des configurations de sécurité par défaut sont considérées comme étant à risque le plus élevé, en particulier celles qui n'ont pas mis en œuvre de politiques d'accès conditionnel ou de exigences de conformité des appareils. L'agence estime que plus de 50 000 organisations américaines pourraient être vulnérables à des attaques similaires si elles maintiennent des postures de sécurité Intune faibles.
Les facteurs de risque spécifiques incluent les organisations utilisant des comptes de service Intune avec des privilèges d'administrateur global, celles manquant d'authentification multi-facteurs sur les comptes administratifs, et les environnements où l'inscription des appareils ne nécessite pas d'authentification basée sur des certificats. Les organisations de santé font face à une exposition particulière car les dispositifs médicaux nécessitent souvent des permissions élevées pour les diagnostics à distance et les mises à jour d'urgence, créant des surfaces d'attaque plus larges que les acteurs de la menace peuvent exploiter.
Microsoft publie des directives d'urgence pour renforcer Intune
Microsoft a publié des directives complètes de renforcement via le Guide de mise à jour de sécurité MSRC le 19 mars 2026, décrivant des changements de configuration spécifiques pour prévenir des attaques similaires. Les directives imposent l'activation de politiques d'accès conditionnel qui exigent la conformité des appareils avant de permettre l'inscription Intune, la mise en œuvre de l'authentification des appareils basée sur des certificats, et la restriction des permissions des comptes de service aux modèles d'accès au moindre privilège.
Les étapes critiques d'atténuation incluent l'audit immédiat de tous les rôles administratifs Intune et la suppression des permissions d'administrateur global des comptes de service utilisés pour la gestion des appareils. Les organisations doivent activer la gestion des identités privilégiées Azure AD pour tous les rôles administratifs Intune et mettre en œuvre des contrôles d'accès juste-à-temps. Microsoft recommande également d'activer des politiques de conformité des appareils qui vérifient la santé des appareils avant de permettre l'accès aux ressources d'entreprise et de mettre en œuvre des politiques de protection des applications qui empêchent l'accès aux données sur les appareils non conformes.
Des mesures de renforcement supplémentaires impliquent de configurer les capacités intégrées de détection des menaces d'Intune pour surveiller les changements de configuration d'appareils suspects et d'activer la journalisation des audits pour toutes les actions administratives au sein de la console Intune. Les organisations devraient également mettre en œuvre une segmentation du réseau pour isoler les appareils gérés par Intune des systèmes d'infrastructure critique et établir des procédures de sauvegarde hors ligne pour les configurations d'appareils afin de permettre une récupération rapide des attaques d'effacement. La CISA recommande de compléter ces étapes de renforcement dans les 72 heures suivant la publication de l'avis pour minimiser l'exposition aux attaques par imitation.
