En fin de semaine dernière, des administrateurs et utilisateurs de Windows ont été confrontés à une vague d’alertes de sécurité inattendues. Microsoft Defender a commencé à signaler deux certificats racine légitimes de DigiCert comme étant une menace de type Trojan:Win32/Cerdigent.A!dha.
Plus grave encore, la solution de sécurité a pu procéder dans certains cas à la suppression automatique de ces certificats essentiels dans la chaîne de confiance de Windows.
Quelle est l’origine de cette détection erronée ?
Ce faux positif a fait suite à une récente faille de sécurité chez DigiCert, où des attaquants ont réussi à compromettre le compte d’un membre du support technique. Cette faille leur a permis d’obtenir des codes d’initialisation pour des certificats de signature de code qui ont ensuite été utilisés pour signer des malwares, dont Zhong Stealer.
En réaction, Microsoft a renforcé ses détections pour bloquer ces certificats frauduleux. Cependant, la mise à jour des signatures a été trop agressive, entraînant par erreur la détection de certificats racine parfaitement légitimes.
Microsoft a ultérieurement confirmé que » des alertes de faux positifs ont été déclenchées par erreur « .
Il y avait matière à faire peur
Par crainte d’un ordinateur infecté, des utilisateurs ont procédé à une réinstallation complète de leur système d’exploitation en guise de précaution. Techniquement, la suppression des certificats du registre Windows est une action aux lourdes conséquences.
Sans ces certificats racine, un système peut devenir incapable de valider les connexions SSL/TLS de nombreux sites web ou de vérifier la signature de logiciels légitimes. Cela peut provoquer des erreurs de navigation et des dysfonctionnements d’applications.
Les certificats concernés portaient les empreintes :
- 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
- DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Comment Microsoft a-t-il résolu le problème ?
Microsoft a réagi rapidement en publiant un correctif. La mise à jour Security Intelligence version 1.449.430.0 (ou plus) a corrigé la détection erronée. Elle est conçue pour restaurer automatiquement les certificats qui avaient été malencontreusement supprimés par la solution de sécurité.
Éventuellement, la mise à jour peut être forcée depuis les paramètres de Sécurité Windows. Microsoft a précisé que les clients » n’ont pas besoin de prendre de mesures supplémentaires pour les alertes « .