Pendant trois jours, des administrateurs système du monde entier ont vu Microsoft Defender hurler à la présence d’un malware sur leurs postes Windows. Le coupable annoncé : Trojan:Win32/Cerdigent.A!dha, supposément niché dans le magasin de certificats du système. Le problème ? Les « menaces » en question étaient en réalité deux certificats racine DigiCert parfaitement légitimes, parmi les plus utilisés sur Internet.
Ce qui s’est passé
Le 30 avril 2026, Microsoft a déployé la mise à jour de signatures Defender 1.449.424.0, ajoutant une nouvelle détection ciblant des certificats compromis. Selon le chercheur en cybersécurité Florian Roth (@cyb3rops), qui a alerté la communauté le premier, la signature s’est mise à matcher sur les empreintes cryptographiques de deux certificats racine DigiCert parmi les plus largement déployés au monde :
- DigiCert Assured ID Root CA — empreinte
0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 - DigiCert Trusted Root G4 — empreinte
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4
Sur les systèmes affectés, ces certificats ont été supprimés de la clé de registre :
HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\Autrement dit : Defender ne s’est pas contenté d’alerter, il a purgé silencieusement les certificats de confiance du magasin AuthRoot de Windows.
Pourquoi c’est grave
Les certificats racine sont la fondation de la confiance numérique sur un poste Windows. Quand Defender en supprime deux d’aussi largement utilisés, les conséquences potentielles sont sérieuses :
- Validation TLS / HTTPS cassée : sites web signés par une chaîne remontant à ces racines pouvant générer des avertissements navigateur ou échouer purement et simplement.
- Signature de code invalide : logiciels signés par DigiCert apparaissant comme non fiables, avec blocage à l’exécution.
- Services internes en panne : Windows Update, connexions à des services TLS internes ou applications dépendantes de la PKI pouvant échouer.
- Bruit massif dans les SOC : centaines voire milliers d’alertes de « haute sévérité » à trier en urgence.
- Réinstallations inutiles : certains utilisateurs, paniqués, ont carrément réinstallé Windows croyant leur poste compromis.
Lien avec l’incident DigiCert récent
L’origine du problème n’est pas un hasard. Microsoft a confirmé après publication de l’incident que la signature avait été ajoutée en réaction à un véritable incident de sécurité chez DigiCert, divulgué récemment :
- Un acteur malveillant a compromis le poste d’un analyste support de DigiCert.
- Cet accès a permis d’obtenir des codes d’initialisation pour un nombre limité de certificats de signature de code.
- DigiCert a identifié et révoqué 60 certificats au total, dont 27 explicitement liés à l’attaquant.
- Les certificats compromis ont notamment servi à signer le malware Zhong Stealer (analysé comme un RAT déguisé en infostealer).
Le hic : les certificats malveillants révoqués étaient des certificats de signature de code (issus de CA intermédiaires DigiCert Trusted G4 Code Signing RSA4096 SHA256/SHA384 2021 CA1), tandis que Defender a flagué les certificats racine eux-mêmes — qui n’ont strictement rien à voir avec la compromission. La signature était mal calibrée.
La chronologie en une image
L’enchaînement, de l’incident DigiCert à la résolution :
La solution
Microsoft a corrigé le tir avec la mise à jour Security Intelligence 1.449.430.0 (suivie depuis par la 1.449.431.0). Cette nouvelle version :
- supprime la détection erronée ;
- restaure automatiquement les certificats précédemment supprimés sur les machines affectées.
Les déploiements se font automatiquement, mais vous pouvez forcer la mise à jour manuellement :
Sécurité Windows → Protection contre les virus et menaces → Mises à jour de la protection → Rechercher des mises à jour
Vérifier si vos postes sont concernés
Florian Roth a partagé deux commandes utiles pour les administrateurs :
Vérification rapide en ligne de commande :
certutil -store AuthRoot | findstr -i "digicert"Requête Advanced Hunting (Microsoft Defender for Endpoint) pour confirmer la restauration :
DeviceRegistryEvents
| where ActionType == "RegistryKeyCreated"
| where Timestamp > datetime(2026-05-03T04:00:00)
| project Timestamp, DeviceName, ActionType, InitiatingProcessFileName
| order by Timestamp descMicrosoft précise par ailleurs que Defender a automatiquement supprimé et nettoyé les alertes dans les environnements clients, et que les organisations affectées ont été notifiées via le Service Health Dashboard du M365 admin center.
Les leçons à retenir
Cet incident illustre plusieurs réalités souvent sous-estimées :
- Une mise à jour de signature antivirus peut casser la chaîne de confiance d’un parc Windows entier en quelques minutes, sans intervention humaine.
- Les systèmes critiques côté serveur (où l’indisponibilité TLS coûte le plus cher) doivent être priorisés lors de la vérification.
- Les politiques de mises à jour échelonnées (certaines entreprises imposent du retard sur les MAJ Defender) ont, paradoxalement, protégé certains parcs… mais en exposent d’autres aux vraies menaces le reste du temps. Le compromis reste délicat.
- La communication initiale d’un éditeur de sécurité face à un faux positif massif est cruciale : Microsoft a mis plusieurs heures à confirmer publiquement, laissant des admins du monde entier dans le flou.
Sources
- Bleeping Computer — Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha
- CybersecurityNews — Defender Flags DigiCert Root Certificates
- Neowin — Microsoft Defender flagging Cerdigent trojan malware on Windows 11, Server PCs worldwide
- Microsoft Q&A — Cerdigent high-severity malware was detected
