La faille de Stryker aux États-Unis pourrait avoir commencé par le vol d'informations d'identification

De nouveaux rapports suggèrent que la cyberattaque qui a perturbé le géant de la technologie médicale Stryker pourrait avoir commencé par des informations d'identification recueillies par un logiciel malveillant de type "infostealer" plutôt que par un logiciel d'exploitation.

SecurityWeek a rapporté le 18 mars que Hudson Rock Alon Gal a trouvé des preuves de l'existence d'informations d'identification de l'administrateur de Stryker dans les journaux d'infostealer, ainsi que d'autres informations d'identification de services Microsoft et de gestion d'appareils mobiles liées à l'entreprise.

Il ne s'agit pas d'une découverte médico-légale confirmée, et Stryker n'a pas vérifié le cheminement de l'attaque. Dans un document déposé auprès de la SEC le 11 mars à l'adresse https://www.sec.gov/Archives/edgar/data/310764/000119312526102460/d76279d8k.htmle 11 mars, la société a déclaré qu'elle avait identifié un incident de cybersécurité affectant certains systèmes informatiques qui a provoqué une perturbation globale de son environnement Microsoft. Stryker a également déclaré qu'elle n'avait aucune indication de ransomware ou de logiciel malveillant à ce moment-là et que son enquête se poursuivait.

Des preuves de l'utilisation abusive de comptes valides

Le nouveau rapport est remarquable parce qu'il propose une théorie plus spécifique sur la façon dont les attaquants ont pu obtenir l'accès. SecurityWeek a déclaré que des rapports antérieurs indiquaient que les attaquants avaient pu abuser de l'environnement Microsoft Intune de Stryker après avoir compromis un compte administrateur et créé un nouveau compte administrateur global, qui aurait ensuite été utilisé pour effacer les dispositifs gérés.

L'analyse d'Hudson Rock ajoute une explication possible en amont : les informations d'identification auraient déjà circulé dans les journaux d'infostealer avant l'incident. M. Gal a déclaré que les informations d'identification associées à Stryker semblaient dater de plusieurs mois, voire de plusieurs années, ce qui suggère que la fenêtre d'exposition a pu commencer bien avant l'incident du 11 mars.

Une télémétrie distincte apporte un soutien, mais pas de confirmation

Un message publié le 12 mars par Lunar Cyber a également déclaré avoir observé des informations d'identification liées à Stryker dans les journaux des voleurs d'informations pendant une grande partie de l'année 2025, avec environ 14 jeux d'informations d'identification exposés, affectant Microsoft 365 et des portails tiers.

Cela ne prouve pas que ces identifiants ont été utilisés lors de la violation, mais cela confirme la possibilité que les données d'accès liées à Stryker aient été exposées avant que l'incident ne soit rendu public. Le dossier de Stryker indique toujours que la portée, la nature et l'impact de l'incident restent inconnus.

Pour l'instant, l'hypothèse la plus sûre est que de nouveaux rapports ont établi un lien entre la violation de Stryker et des informations d'identification potentiellement volées, mais l'enquête de Stryker est toujours en cours et le cheminement exact de l'intrusion n'a pas été officiellement confirmé.