Début mai 2026, Microsoft Defender, l’antivirus par défaut des ordinateurs Windows, s’est mis à dérailler. L’antivirus a soudainement décrété que les certificats racines numériques officiels de la société DigiCert étaient des logiciels malveillants. Les documents électroniques, qui servent à prouver qu’un logiciel est fiable, ont été considérés comme des virus. De facto, Defender a mis tous les certificats en quarantaine. Notez que des centaines de millions de machines abritent des certificats racines de DigiCert.
À lire aussi : Une faille Windows permet de voler votre mot de passe, et des hackers russes s’en sont rendu compte
Des bugs en cascade à cause de Microsoft Defender
À la base d’une chaîne de certificats, ces certificats numériques établissent une chaine de confiance dans les échanges en ligne, et sont essentiels au fonctionnement du web. Sans lui, votre navigateur ou votre système d’exploitation ne sait plus si un site ou un programme est fiable. En supprimant ces certificats des ordinateurs, Defender a donc créé une situation dangereuse et problématique.
Bien vite, les entreprises utilisant des logiciels signés par DigiCert, et tous les certificats reposant sur des certificats racine mis en quarantaine, ont rencontré des dysfonctionnements. Le bug de Microsoft Defender a provoqué une foule de défaillances en cascade. Quand Defender a mis en quarantaine les deux certificats racines de DigiCert, à savoir Assured ID Root CA et Trusted Root G4), il a retiré les fondations de confiance du système des certificats numériques. Des connexions HTTPS se sont mises à échouer, des sites web ont affiché des avertissements d’erreur, et des logiciels légitimes ont refusé de se lancer.
Une faille de sécurité…
Tout a commencé lorsqu’une faille de sécurité a été découverte chez DigiCert. Des cybercriminels ont ainsi réussi à compromettre le compte d’un technicien de la société. Avec le compte compromis, les hackers ont pu mettre la main sur des codes d’initialisation, qui ont permis de créer de faux certificats de signature. Ces certificats frauduleux ont ensuite été utilisés pour signer des malwares, dont un logiciel espion redoutable, Zhong Stealer. DigiCert a révoqué 60 certificats compromis, dont 27 directement liés à cette campagne d’espionnage.
« Notre enquête ultérieure a révélé que l’attaquant avait pu se procurer des codes d’initialisation pour un nombre limité de certificats de signature de code, dont quelques-uns ont ensuite été utilisés pour signer des logiciels malveillants. Les certificats identifiés ont été révoqués dans les 24 heures suivant leur découverte », explique DigiCert.
À lire aussi : Windows 11 – comment vérifier si vos certificats Secure Boot sont à jour ?
Et une mise à jour qui fait trop de zèle
En réaction, Microsoft a cherché à protéger ses utilisateurs en renforçant les détections de Defender. Malheureusement, il s’est avéré que la mise à jour déployée par Microsoft rendait l’antivirus beaucoup trop agressif. Au lieu de viser uniquement les certificats frauduleux, Defender s’est aussi attaqué à des certificats racines parfaitement légitimes. La mise à jour a été déployée autour du 30 avril, et quelques heures après, les bugs ont commencé à s’accumuler. Microsoft s’est promptement rendu compte de son erreur, et de l’explosion des faux positifs.
« Suite à des signalements de certificats compromis, Microsoft a immédiatement intégré la détection de logiciels malveillants à son logiciel antivirus Defender afin de mieux protéger ses clients. Plus tôt dans la journée, nous avons constaté que des alertes erronées avaient été déclenchées et avons mis à jour la logique d’alerte », explique Microsoft à Bleeping Computer.
Microsoft a réagi rapidement. Un correctif a été publié sous la forme d’une mise à jour des définitions de sécurité. Celle-ci corrige la détection erronée et restaure automatiquement les certificats supprimés sur les machines affectées. Les utilisateurs de Windows n’ont en principe rien à faire. La mise à jour s’installe en effet toute seule.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
