Notebookcheck Logo

Microsoft Defender signale les certificats DigiCert comme étant des logiciels malveillants

Une mise à jour défectueuse des signatures de Microsoft Defender a fait que des certificats racine DigiCert de confiance ont été signalés comme étant des logiciels malveillants et supprimés des systèmes Windows.
ⓘ magnific.com/author/kjpargeter
Une mise à jour défectueuse des signatures de Microsoft Defender a fait que des certificats racine DigiCert de confiance ont été signalés comme étant des logiciels malveillants et supprimés des systèmes Windows.
Une mise à jour défectueuse de la signature de Defender a signalé deux certificats racine DigiCert de confiance comme étant des logiciels malveillants et les a retirés des systèmes Windows dans le monde entier.
Desktop Laptop / Notebook Microsoft Software Windows Security

La semaine dernière, Microsoft Defender a signalé deux des certificats racine les plus fiables d'Internet comme étant des logiciels malveillants, ce qui a provoqué une perturbation généralisée dans les environnements Windows des entreprises. Le faux positif a commencé le 30 avril, lorsqu'une mise à jour des signatures de Defender a introduit une détection intitulée Trojan:Win32/Cerdigent.A!dha. Au lieu d'attraper un logiciel malveillant, cette détection a incorrectement fait correspondre les hachages cryptographiques de deux certificats racine DigiCert présents sur pratiquement toutes les machines Windows utilisées aujourd'hui.

Les certificats concernés sont DigiCert Assured ID Root CA, empreinte 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43, et DigiCert Trusted Root G4, empreinte DDFB16CD4931C973A2037D3FC83A4D7D775D05E4. Ces deux certificats font partie de la liste de confiance de Windows depuis des années et sont utilisés pour valider les connexions SSL/TLS, les opérations de signature de code et les appels API sur des millions de systèmes d'entreprises et de particuliers. Lorsque Defender les a mis en quarantaine, ces chaînes de validation se sont rompues. Certains administrateurs ont passé des heures à diagnostiquer des pannes de service avant d'en identifier la cause. D'autres, voyant apparaître une détection de cheval de Troie dans leur console de sécurité, ont réinstallé entièrement leur système d'exploitation.

La cause

Le faux positif est lié à un incident réel chez DigiCert. Début avril, des attaquants ont utilisé un fichier ZIP malveillant déguisé en capture d'écran d'un client pour compromettre deux terminaux de l'équipe d'assistance de l'entreprise, en exploitant un déploiement EDR mal configuré sur une machine qui n'a pas réussi à détecter la livraison initiale. Les attaquants ont accédé au portail de support interne de DigiCert et ont obtenu des codes d'initialisation pour un nombre limité de certificats de signature de code EV. DigiCert a identifié et révoqué 60 certificats, y compris ceux liés à la campagne de logiciels malveillants Zhong Stealer, dans les 24 heures.

Microsoft s'est empressée de pousser les détections Defender pour protéger ses clients contre les logiciels malveillants signés avec les certificats compromis. La logique de détection déployée était trop large. Elle a détecté les autorités de certification racines DigiCert légitimes en même temps que les certificats de signature de code révoqués, déclenchant des actions de quarantaine sur des systèmes Windows qui n'avaient rien fait de mal. "Plus tôt dans la journée, nous avons déterminé que des alertes faussement positives avaient été déclenchées par erreur et nous avons mis à jour la logique d'alerte", a déclaré Microsoft à BleepingComputer. La correction a été livrée dans la mise à jour 1.449.430.0 de Security Intelligence. Les systèmes qui ont appliqué la mise à jour ont automatiquement vu leurs certificats restaurés. Les administrateurs des environnements dotés de politiques de mise à jour restreintes ont dû vérifier la restauration manuellement en utilisant certutil -store AuthRoot | findstr -i "digicert".

Que faire si vous êtes toujours affecté

Certains utilisateurs ont signalé qu'ils voyaient toujours l'alerte Trojan:Win32/Cerdigent.A!dha sur la version 1.449.446.0 de la définition, ce qui suggère que la correction ne s'est pas entièrement propagée à travers tous les chemins de livraison des définitions. Microsoft recommande de mettre à jour Defender avec la dernière version disponible de Security Intelligence via Paramètres, puis Sécurité Windows, puis Protection contre les virus et les menaces, puis Mises à jour de la protection. L'exécution de Windows Update et le redémarrage de la machine devraient permettre de restaurer les certificats mis en quarantaine. DigiCert a confirmé sur son blog que les certificats incorrectement supprimés par Defender devraient être restaurés automatiquement une fois la mise à jour appliquée et qu'aucune compromission plus large des certificats, comptes ou systèmes des clients n'a eu lieu.

Il s'agit d'une nouvelle perturbation importante liée aux mises à jour de Microsoft en avril et en mai, après les mises à jour KB5083769 sur les machines HP et Dell, la mise à niveau forcée vers Windows 11 25H2, et la même mise à jour qui a interrompu les outils de sauvegarde tiers d'Acronis et de Macrium. Notebookcheck a couvert le problème de la KB5083769 situation.

Please share our article, every link counts!
Mail Logo

Articles en relation

> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 05 > Microsoft Defender signale les certificats DigiCert comme étant des logiciels malveillants
Darryl Linington, 2026-05- 7 (Update: 2026-05- 7)