Wiped out

Une société états-unienne d’équipement médical a été visée par une cyberattaque revendiquée par un groupe pro-iranien. Une illustration parmi d’autres des cyberactivités iraniennes dans les systèmes d’acteurs états-uniens et israéliens.

Spécialiste états-unienne des équipements médicaux, Stryker a subi « des perturbations mondiales sur son environnement Microsoft à cause d’une cyberattaque ». Dans un communiqué publié ce 11 mars sur LinkedIn, l’entreprise déclare n’avoir trouvé « aucune indication de ransomware ou de malware », et considère que « l’incident est maîtrisé ».

Alors que les États-Unis et Israël ont ouvert des hostilités contre l’Iran depuis le 28 février, un groupe de pirates informatiques pro-iranien, Handala Hack, a revendiqué les faits. Des chercheurs en cybersécurité ont par ailleurs identifié d’autres activités malveillantes dans les systèmes de sociétés états-uniennes, israéliennes et canadiennes.

• La guerre avec l’Iran aura-t-elle un impact sur les investissements dans la tech ?

Un wiper chez Stryker

Du côté de Stryker, les cyberattaquants auraient infecté certains systèmes de l’entreprise avec un « wiper », c’est-à-dire un logiciel de destruction de données, et fait apparaître leur logo sur les équipements des employés, selon le Wall Street Journal et l’Irish Examiner.

Des employés du Costa Rica, d’Australie, d’Irlande et des États-Unis ont témoigné avoir vu leurs smartphones et ordinateurs sous Windows vidés à distance. Pour limiter les dégâts, les employés se sont vu demander de ne pas allumer leurs équipements professionnels pendant le déroulement des processus de réponses à l’incident.

Sur LinkedIn, Stryker indique avoir mis des « mesures de continuité en place » pour lui permettre de continuer de fournir ses clients et de travailler avec ses partenaires. L’entreprise emploie plus de 53 000 personnes à travers la planète et fabrique toutes sortes d’équipements, des brancards aux outils de chirurgie en passant par des prothèses et des neurotechnologies, dont aucun ne semble avoir été touché par l’attaque.

Handala Hack, le groupe qui revendique l’action, est actif au moins depuis 2024. Connu pour soutenir la Palestine, il a notamment déployé des attaques par phishing, vol de données, rançongiciels, extorsion ou destruction contre des sociétés israéliennes ou perçues comme des soutiens à Israël. En février 2026, il affirmait avoir infecté les systèmes de Clalit, la plus grande des quatre entités publiques de santé d’Israël.

Dans le cas présent, les attaquants affirment avoir visé Stryker pour ses supposés liens avec l’État hébreu. En 2019, Stryker a fait l’acquisition de la startup israélienne OrthoSpace, spécialiste des implants orthopédiques.

MuddyWater/SeedWorm dans des réseaux états-uniens

D’autres groupes pro-iraniens voire soutenus par le régime sont actifs dans les systèmes de sociétés américaines. Les équipes de Symantec et Carbon Black ont ainsi repéré des traces du groupe MuddyWater (aussi connu sous les noms de SeedWorm, Temp Zagros ou Static Kitten), affilié au ministère iranien du renseignement et de la sécurité. Les auteurs du rapport estiment que la campagne remonte à début février, avec des mouvements plus récents, après les attaques des États-Unis et d’Israël sur le territoire iranien.

Cette attaque-ci vise une société de logiciel qui fournit les industries spatiale et de défense, notamment en Israël, ainsi qu’une banque et un aéroport états-uniens, ou encore une organisation à but non lucratif canadienne. Le rapport constate que dans les dernières années, les « acteurs iraniens de la menace sont devenus de plus en plus compétents. Non seulement leurs outils et leurs ransomwares ont été améliorés, mais ils ont aussi démontré de fortes compétences d’ingénierie sociale, y compris via des campagnes de spear-phishing [opération de phishing ciblée, ndlr] ou des opérations « honeytrap » utilisées pour créer des relations avec leurs cibles et obtenir l’accès à des comptes ou des informations sensibles. »

En 2025, MuddyWater avait notamment mené une attaque complexe de spear phishing pour distribuer une backdoor sur mesure à diverses organisations internationales du Moyen-Orient et d’Afrique du Nord. Concrètement, rapportent Symantec et Carbon Black, l’opération d’espionnage avait visé une centaine d’entités gouvernementales. En novembre 2025, le groupe avait par ailleurs été lié à une attaque contre divers universitaires experts du Moyen-Orient et d’autres experts en politique étrangère.

La semaine passée, on apprenait coup sur coup la condamnation de l’auteur d’un vol de failles de sécurité « 0days » développées pour la NSA et ses partenaires. Puis que Coruna, un logiciel espion contenant des vulnérabilités préalablement exploitées par la NSA pour espionner des iPhone, avait été récupéré par un service de renseignement russe pour infecter des terminaux ukrainiens, puis des cybercriminels chinois pour voler des cryptoactifs.

Peter Williams, directeur général de Trenchant, un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques, filiale du marchand d’armes L3Harris, vient en effet d’être condamné à sept ans de prison pour en avoir volé huit, et les avoir vendues à son principal concurrent russe, Operation Zero, pour 1,3 million de dollars.

Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain avait précisé qu’ « Opération Zero a ensuite vendu ces outils volés à au moins un utilisateur non autorisé ».

Google a par ailleurs découvert que Coruna, le logiciel espion particulièrement puissant volé à un service de renseignement anglo-saxon, reposait sur pas moins de cinq chaînes d’exploitation iOS complètes et 23 exploits iOS, et qu’il aurait coûté plusieurs millions de dollars en développement.

• USA : 7 ans de prison pour avoir volé, et vendu, des failles « 0days » à un courtier russe
• Des espions russes et cybercriminels chinois ont récupéré un spyware iPhone lié à la NSA

Deux anciens employés de L3Harris ont depuis déclaré au journaliste spécialisé Lorenzo Franceschi-Bicchierai de TechCrunch que Coruna avait été développé, au moins en partie, par la division technologique de piratage et de surveillance de Trenchant.

« Coruna était sans aucun doute le nom interne d’un composant », a souligné un ancien employé de L3Harris, qui connaissait bien les outils de piratage de l’iPhone dans le cadre de son travail chez Trenchant : « j’ai examiné les détails techniques » partagés par Google, et « beaucoup me sont familiers ». 

TechCrunch rappelle que L3Harris vend les outils de piratage et de surveillance de Trenchant exclusivement au gouvernement américain et à ses alliés de l’alliance de renseignement dite « Five Eyes », qui comprend l’Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni.

Selon les procureurs américains, Williams a reconnu le code qu’il avait écrit et vendu à Operation Zero, qui a ensuite été utilisé par un courtier sud-coréen, note TechCrunch, qui laisse entendre que c’est « peut-être » ainsi que Coruna aurait finalement été racheté par des pirates chinois.

Le chercheur en sécurité Costin Raiu relève que Trenchant a par ailleurs l’habitude d’utiliser des noms d’oiseaux pour désigner les outils qu’il développe. Or, plusieurs des 23 exploits de Coruna portent des noms d’oiseaux, tels que Cassowary, Terrorbird, Bluebird, Jacurutu et Sparrow.

Près de 10 000 auteurs britanniques ont contribué à l’ouvrage Don’t Steal This Book (Ne volez pas ce livre), une publication vide, à l’exception de leurs noms.


Des copies de l’ouvrage étaient distribuées ce 10 mars au Salon du livre de Londres, alors que le gouvernement britannique doit publier la semaine prochaine une évaluation du coût économique des évolutions qu’il propose au droit d’auteur.

Le prix Nobel de littérature Kazuo Ishiguro et l’autrice de fiction historique Philippa Gregory font partie des multiples écrivains mobilisés dans cette campagne, de même que Richard Osman, auteur du roman récemment adapté sur Netflix the Thursday Murder Club, ou Mick Herron, auteur d’une autre série de romans adaptée par Apple TV+, Slow Horses. 


Auprès du Guardian, son initiateur Ed Newton-Rex explique que l’industrie de l’intelligence artificielle a été « construite sur du travail volé, pris sans permission ni paiement ».

À l’occasion du salon du livre, la société à but non lucratif Publishers’ Licensing Services (PLS) a par ailleurs lancé un système de licence collective dédié à l’IA auquel elle invite le secteur à adhérer. PLS espère permettre ainsi un accès légal aux œuvres nécessaires à l’entraînement de moteurs génératifs.

D’autres artistes et producteurs de contenu (dont des médias) ont déjà réalisé diverses actions pour protester contre les propositions législatives du gouvernement britannique sur l’IA. 


Elton John et Dua Lipa faisaient par exemple partie d’une initiative collective visant à empêcher le gouvernement d’introduire une exception au copyright, selon laquelle les sociétés d’IA pourraient recourir à des travaux soumis aux droits d’auteur sauf si ces derniers signalaient explicitement refuser (opt-out) un tel usage de leurs travaux.

• Album silencieux, Une unique : au Royaume-Uni, médias et artistes se mobilisent face à l’IA


IA pas très discrète

Lancé en 2024, ChatGPT Edu est une version spéciale pour les universités. Mais la configuration par défaut de l’outil expose les métadonnées de son utilisation dans certains projets à des milliers de personnes sans que les enseignants-chercheurs le sachent.

Les entreprises d’IA générative ont commencé depuis quelque temps à proposer des offres spéciales universités. En mai 2024, OpenAI sortait par exemple son offre « ChatGPT Edu ».

En France, comme nous l’expliquions, « un service d’accès à une IA générative souveraine, développé avec Mistral et opéré sur les datacenters de l’ESR » a été lancé fin janvier en expérimentation par l’Amue, une agence de mutualisation de services numériques pour les universités et autres établissements de l’enseignement supérieur.

• À l’université, l’IA générative « n’est pas tabou », mais toujours questionnée

Mais des établissements d’enseignement supérieur, l’Université d’Harvard en tête de liste mais aussi en France l’ESCP Business School, ont pris un abonnement chez le leader de l’IA générative.

Pour vanter son produit, OpenAI cite le directeur du système d’information (DSI) de l’université de l’État de l’Arizona : « Le lancement du produit éducatif d’OpenAI, ChatGPT Edu, revêt une importance capitale. Il nous aide à protéger la vie privée de nos étudiants, à protéger nos résultats de recherche qui constituent notre propriété intellectuelle, et répond à nos exigences en matière de sécurité ».

Des métadonnées permettant d’en savoir plus sur les projets en cours

Mais, selon des chercheurs d’Oxford interrogés par le média économique américain Fast Compagny, certaines informations concernant l’utilisation de ChatGPT Edu dans les universités ne sont pas si bien protégées que ça.

Cela concerne plus précisément l’utilisation de Codex via ChatGPT Edu. Si aucun code ou dépôt de données n’est accessible à des personnes non-autorisées, certaines métadonnées sont visibles par des milliers de collègues sans que cela soit notifié clairement aux utilisateurs.

« Tout le monde à l’université, ou du moins un grand nombre de personnes, moi y compris, peut voir de nombreux projets sur lesquels [des gens] ont travaillé avec ChatGPT », explique le chercheur de l’université d’Oxford Luc Rocher à Fast Company.

Luc Rocher explique qu’il peut accéder à des métadonnées comme le nombre de fois qu’un utilisateur a interagi avec ChatGPT dans un projet ou sa date de début. De ces métadonnées, il a pu déduire qu’un étudiant d’Oxford travaillait sur la soumission d’un article scientifique en utilisant ChatGPT Edu (l’étudiant a ensuite confirmé). Le chercheur a signalé le problème à OpenAI et à son université mais, insatisfait de la réponse, il a choisi d’en parler à nos confrères.

• Sécurité des données : le déploiement du chatbot du CNRS par Mistral n’est « pas sérieux »

Une mauvaise configuration par défaut

Interrogé par Fast Company, OpenAI assure que « les utilisateurs ont un contrôle total sur la manière dont leurs environnements sont partagés. Les noms des dépôts ne peuvent être visibles par les autres membres de la même organisation que si le propriétaire de l’espace de travail en décide ainsi, et le contenu des dépôts reste sécurisé ».

Mais pour Luc Rocher, « il semble que ça soit une question d’une mauvaise configuration par défaut » et d’un manque d’information sur celle-ci.

Même si les métadonnées ne sont pas accessibles à l’extérieur de l’université, celle-ci regroupe des dizaines de milliers de personnes. « " En ce qui concerne l’étendue des personnes qui peuvent accéder aux données comportementales les unes des autres, cela est assez préoccupant », estime un chercheur de l’université qui a requis l’anonymat.

L’université d’Oxford n’a pas voulu faire de commentaires. Selon nos confrères, la même configuration serait en place dans d’autres universités (sans citer leurs noms).

« Je pense que c’est quelque chose dont les universités doivent être conscientes », explique Luc Rocher. « Bien que l’on ne sache pas exactement quelle quantité de données est exposée par défaut par OpenAI, il est clair que la manière dont ces systèmes sont intégrés rend visibles à la fois pour l’entreprise et pour l’ensemble de l’organisation des informations qui ne l’étaient pas auparavant », commente auprès de Fast Company, le chercheur Michael Veale en droit et politique des technologies à UCL.

Le géant du logiciel Atlassian a annoncé le licenciement d’environ 10 % de ses effectifs, alors qu’il se restructure pour investir dans l’intelligence artificielle. 


Plus de 900 personnes touchées travaillent en recherche et développement logiciel, rapporte the Guardian, sachant que plus de la moitié des 13 813 membres à temps plein de ses effectifs relèvent de l’ingénierie et du design logiciel.

Sur le total des personnes licenciées, 640 sont installées en Amérique du Nord, 480 en Australie, 250 en Inde et le reste se répartit entre l’Europe, le Japon, les Philippines, le Moyen-Orient et l’Afrique.

Atlassian, qui édite notamment les outils collaboratifs Confluence, Trello et Jira Work Management, doit faire face à la méfiance de ses investisseurs : alors que ceux-ci craignent que l’IA ne rende les services de la société obsolètes, cette dernière a enregistré une chute de la moitié de sa valeur boursière depuis le début 2026.

Cofondateur de l’entreprise, Mike Cannon-Brookes a indiqué à ses employés que l’approche adoptée ne consistait pas à considérer que « l’IA remplace les gens », mais qu’il serait « malhonnête de prétendre que l’IA ne modifie pas l’éventail des compétences dont nous avons besoin ou le nombre de postes requis dans certains domaines ».

Les ambitions d’Atlassian dans l’IA se traduisent aussi dans sa politique de croissance externe : en septembre dernier, l’éditeur australien a ainsi annoncé le rachat de The Browser Company, la société qui développe les navigateurs Web Arc et Dia, pour 610 millions de dollars. Il affichait alors l’objectif de construire sur cette base « le navigateur IA pour les travailleurs du savoir ».

Apple a mis en ligne le 11 mars une mise à jour destinée aux terminaux (iPhone ou iPad) bloqués sous les versions 15 ou 16 de son environnement mobile. Les quatre versions distribuées (iOS 15.8.7 ou iPadOS 15.8.7, iOS 16.7.15 ou iPadOS 16.7.15) interviennent principalement pour combler la vulnérabilité dite Coruna, récemment découverte par des chercheurs de Google.

La gamme des appareils concernés comprend l’iPhone 8, l’iPhone 8 Plus, l’iPhone X, l’iPad 5^e génération, l’iPad Pro 9,7 pouces et le premier iPad Pro 12,9 pouces pour iOS et iPadOS 16.7.5. La mise à jour iOS et iPadOS 15.8.7 concerne quant à elle les iPhone 6 s, 7 et SE première génération ainsi que les iPad Air 2 et mini 4 sans oublier l’iPod Touch 7.

La rustine s’applique au niveau de webkit, au sein duquel l’exposition à un contenu malveillant était susceptible d’entraîner une corruption de la mémoire, décrit Apple.

« Ce correctif, lié à la faille Coruna, a été intégré à iOS 17.2 le 11 décembre 2023. Cette mise à jour apporte ce correctif aux appareils ne pouvant pas être mis à jour vers la dernière version d’iOS », indiquent les notes de version.

Le nom Coruna désigne plus précisément un logiciel malveillant récemment découvert. Reposant sur pas moins de cinq chaînes d’exploitation iOS complètes et un total de 23 exploits iOS, il a déjà été mis en œuvre dans plusieurs cyberattaques, et son histoire, à lire sur Next, implique à la fois la NSA, le renseignement russe et des scammers chinois.

• Des espions russes et cybercriminels chinois ont récupéré un spyware iPhone lié à la NSA

Un peu moins de cinq mois après la mise en ligne de la version finale de Fedora 43, l’équipe en charge du projet a publié cette semaine la première bêta de la 44, aussi bien en version Workstation que KDE Plasma Desktop, Server, IoT et Cloud.

• [MàJ] Fedora 43 disponible : une version solide, malgré un manque de nouveautés visibles

Parmi les changements, le passage au noyau Linux 6.19, l’environnement de bureau Gnome 50 ou KDE Plasma 6.6 suivant les versions. Bien d’autres changements sont de la partie, comme en témoignent les notes de version.

Comme toujours, à utiliser en connaissance de cause, une bêta peut rencontrer des problèmes de stabilité. Pour télécharger une des versions de Fedora, c’est par ici que ça se passe (y compris en LiveCD si vous voulez simplement tester).