Microsoft Defender provoque le chaos sur Windows : l'antivirus a bloqué par erreur des certificats racines DigiCert
⚠️ Faux positif massif
Trojan:Win32/Cerdigent.A!dhaDétection erronée sur certificats racines DigiCert légitimes – Correctif déployé
Chronologie précise de l'incident
📅 Avril-Mai 2026
DigiCert subit une attaque par ingénierie sociale via son portail support. Un technicien se fait piéger par un fichier ZIP malveillant. L'attaquant émet frauduleusement des certificats de signature de code EV.
DigiCert révoque 60 certificats compromis, dont 27 explicitement liés à l'attaquant. 11 d'entre eux ont servi à signer le malware Zhong Stealer.
Microsoft déploie une mise à jour des définitions Defender (version 1.449.377.0) pour détecter les certificats frauduleux. L'antivirus devient trop agressif et cible aussi les certificats racines légitimes.
Explosion de signalements mondiaux. Les administrateurs voient des alertes massives et des quarantaines automatiques sur leurs parcs Windows.
Microsoft publie un correctif (1.449.430.0 puis 1.449.431.0). Les certificats sont automatiquement restaurés dans le magasin de confiance Windows.
Ce type d'incident rappelle les problèmes rencontrés lors du Patch Tuesday et les bugs BitLocker. Les mises à jour de sécurité trop zélées peuvent créer plus de problèmes qu'elles n'en résolvent.
Les deux certificats racines concernés
Ces deux racines font partie du magasin Trusted Root Certification Authorities de Windows. Elles valident indirectement des millions de certificats intermédiaires utilisés par des sites web et logiciels dans le monde entier.
| Certificat | Thumbprint (SHA-1) | Impact |
|---|---|---|
| Assured ID Root CA | 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 | Erreurs HTTPS, logiciels non lancés |
| Trusted Root G4 | DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 | Connexions sécurisées rompues |
Conséquences concrètes : navigateurs affichant « Connexion non sécurisée », logiciels signés refusant de démarrer, mises à jour automatiques bloquées, VPN d'entreprise et outils internes inaccessibles. Des milliers d'entreprises ont été touchées.
Pourquoi ce faux positif a-t-il été aussi dévastateur ?
Les certificats racines sont la fondation de la confiance numérique. Quand Defender les supprime, toute la chaîne de confiance s'effondre. Le navigateur ne fait plus confiance à certains sites, les logiciels signés par des certificats descendants échouent à se lancer.
Les environnements gérés par Intune ou Microsoft Defender for Endpoint ont été particulièrement touchés. Sur les forums Reddit (r/sysadmin, r/cybersecurity) et Microsoft Answers, les administrateurs ont signalé des centaines d'alertes par machine. Une situation comparable aux fuites de données SMTP Alinto en termes d'impact sur les entreprises.
La réaction de Microsoft
Microsoft a expliqué officiellement : « Suite à des signalements de certificats compromis, nous avons immédiatement intégré la détection dans Defender. Plus tôt dans la journée, nous avons constaté que des alertes erronées avaient été déclenchées et avons mis à jour la logique d'alerte. »
Bonne nouvelle : le correctif a été déployé très vite. Sur la plupart des machines, la restauration est automatique. Les certificats reviennent dans le magasin Trusted Root sans intervention manuelle.
La brèche DigiCert : ce qui s'est vraiment passé
L'attaque n'était pas une faille technique majeure mais une ingénierie sociale ciblée. L'attaquant a contacté le support DigiCert et envoyé un fichier malveillant (écran de veille piégé dans un ZIP). Une fois le compte technicien compromis, il a pu générer des certificats EV Code Signing légitimes en apparence.
Ces certificats ont servi à signer Zhong Stealer, un voleur d'identifiants et de cryptomonnaies lié à des groupes chinois (GoldenEyeDog / APT-Q-27). DigiCert a réagi en moins de 24 heures et a révoqué tous les certificats suspects. Aucune compromission des certificats racines n'a eu lieu.
Point clé : les certificats racines DigiCert n'ont jamais été compromis. Le problème vient uniquement de la réaction trop large de Microsoft Defender qui a confondu certificats frauduleux et certificats légitimes.
Que faire si vous êtes concerné ?
🛠 Guide de vérification
Vérifiez la mise à jour Defender
Ouvrez Windows Security → Protection contre les virus et menaces → Mises à jour de la protection. Version minimum : 1.449.430.0
Vérifiez la présence des certificats
Invite de commandes en admin : certutil -store AuthRoot | findstr -i "DigiCert"
Redémarrez votre PC
Souvent suffisant après la mise à jour pour restaurer les certificats.
Pour les entreprises
Consultez le Service Health Dashboard dans le Microsoft 365 Admin Center (incident DZ1299600).
Aucune action supplémentaire n'est nécessaire pour la très grande majorité des utilisateurs. Si vous rencontrez encore des problèmes, consultez notre guide sur la sécurisation de vos appareils.
Leçons à tirer de cet incident
Ce bug met en lumière les risques des antivirus trop réactifs : une mise à jour de sécurité peut créer plus de problèmes qu'elle n'en résout. C'est déjà arrivé par le passé (faux positifs CrowdStrike en 2024, par exemple).
Pour Microsoft, cela renforce l'importance des tests en staging avant déploiement massif. Pour les utilisateurs et entreprises : maintenir les mises à jour Defender reste primordial, mais il faut toujours croiser les sources en cas d'alerte massive. Les bonnes pratiques de gestion des données incluent aussi une veille sécurité active.
Ce faux positif massif n'était pas une faille de sécurité grave, mais une réaction excessive à une vraie brèche. Grâce à une correction rapide, la plupart des machines ont été réparées automatiquement. Cela rappelle cependant que même les outils de sécurité les plus intégrés ne sont pas infaillibles.
📋 À retenir
- Microsoft Defender a détecté par erreur deux certificats racines DigiCert légitimes comme malware.
- Certificats concernés : DigiCert Assured ID Root CA et DigiCert Trusted Root G4.
- Conséquences : erreurs HTTPS, logiciels bloqués, alertes massives sur des millions de PC Windows.
- Origine : réaction trop zélée de Defender suite à une vraie brèche chez DigiCert (Zhong Stealer).
- Correctif : version 1.449.430.0 et supérieures des définitions Defender.
- Restauration automatique : les certificats reviennent sans intervention manuelle sur la plupart des machines.
- Vérification :
certutil -store AuthRoot | findstr -i "DigiCert"en invite de commandes admin. - Les certificats racines DigiCert n'ont jamais été compromis – seuls les certificats frauduleux l'étaient.
❓ Questions fréquentes
Mon PC est-il encore en danger après ce bug ?
Non. Les certificats DigiCert n'ont jamais été compromis. Il s'agissait uniquement d'un faux positif de Defender. Mettez simplement à jour vos définitions.
Dois-je réinstaller Windows ?
Absolument pas. Le correctif restaure automatiquement les certificats.
Quels sont les certificats exacts touchés ?
DigiCert Assured ID Root CA et DigiCert Trusted Root G4 (thumbprints indiqués plus haut).
Les entreprises ont-elles été plus touchées ?
Oui, surtout celles avec Defender for Endpoint en mode strict. Beaucoup ont vu des milliers d'alertes.
Pourquoi Defender a-t-il supprimé les certificats racines ?
La mise à jour visait les certificats frauduleux issus de la brèche DigiCert. La logique de détection a été trop large.
Faut-il désactiver Defender temporairement ?
Non. Le correctif est déjà déployé. Désactiver l'antivirus vous exposerait à de vrais risques.
Zhong Stealer, c'est quoi exactement ?
Un malware de vol de données et de cryptomonnaies utilisé par des groupes cybercriminels chinois. Les certificats frauduleux l'ont aidé à paraître légitime.
📚 Sources
- Microsoft – Communiqués officiels (mai 2026)
- DigiCert – Rapport d'incident et révocations
- BleepingComputer – Analyse technique
- ThreatLocker – Analyse Zhong Stealer
- Reddit r/sysadmin, r/cybersecurity – Retours administrateurs
Besoin d'un site web sécurisé et bien référencé ?
WY-Créations® accompagne les professionnels depuis 2018 avec +500 sites livrés et +126 avis 5 étoiles.
💬 Demander un devis gratuit