La détection de faux positifs de Microsoft Defender cible les certificats DigiCert
Microsoft Defender a commencé à signaler les certificats racine légitimes de DigiCert comme des logiciels malveillants le 3 mai 2026, déclenchant la signature de détection Trojan:Win32/Cerdigent.A!dha sur les systèmes Windows du monde entier. Les alertes de faux positifs ont commencé à apparaître dans les environnements d'entreprise et les systèmes grand public exécutant Windows 10 et Windows 11 avec la protection en temps réel activée.
Le moteur de détection a incorrectement identifié les certificats d'autorité de certification racine de confiance de DigiCert comme des menaces potentielles, entraînant la mise en quarantaine ou la suppression par Microsoft Defender de ces composants cryptographiques essentiels des magasins de certificats Windows. DigiCert opère comme l'une des plus grandes autorités de certification au monde, fournissant des certificats SSL/TLS et des signatures numériques pour des millions de sites Web et d'applications à l'échelle mondiale.
Les administrateurs système ont d'abord signalé le problème via les forums communautaires de Microsoft et les canaux de support d'entreprise, décrivant des scénarios où des applications commerciales critiques ont cessé de fonctionner après que Defender a supprimé les certificats. Les faux positifs ont affecté à la fois les certificats DigiCert Global Root CA et DigiCert High Assurance EV Root CA, qui servent d'ancrages de confiance pour valider les certificats numériques sur Internet.
L'équipe de sécurité de Microsoft a reconnu que l'erreur de détection provient d'une mise à jour de signature trop agressive poussée au service de protection basé sur le cloud de Defender. Le Guide de mise à jour de sécurité de l'entreprise a confirmé qu'ils travaillent à résoudre la classification de faux positifs et à rétablir la fonctionnalité normale de validation des certificats.
L'incident souligne l'équilibre délicat entre la détection proactive des menaces et le maintien de la stabilité du système. Les autorités de certification comme DigiCert subissent des processus d'audit et de conformité rigoureux pour maintenir leur statut de confiance, rendant les détections de faux positifs particulièrement perturbatrices pour les opérations d'entreprise et la fonctionnalité de navigation Web.
Les systèmes Windows exécutant Microsoft Defender subissent une perturbation des certificats
Tous les systèmes Windows 10 et Windows 11 avec la protection en temps réel de Microsoft Defender activée sont potentiellement affectés par les détections de faux positifs. Les environnements d'entreprise utilisant Windows Server 2019, Windows Server 2022 et Microsoft 365 Defender subissent l'impact opérationnel le plus significatif, en particulier les organisations s'appuyant sur des applications qui valident les certificats contre les autorités de certification racine de DigiCert.
Les navigateurs Web, y compris Microsoft Edge, Google Chrome et Mozilla Firefox, peuvent afficher des erreurs de validation de certificat lors de l'accès à des sites Web sécurisés avec des certificats SSL émis par DigiCert. Les clients de messagerie comme Microsoft Outlook pourraient rencontrer des échecs d'authentification lors de la connexion à des serveurs de messagerie utilisant des certificats DigiCert pour des protocoles de communication sécurisés.
Les applications d'entreprise utilisant des certificats de signature de code de DigiCert font face à des blocages d'exécution ou à des avertissements de sécurité, perturbant les pipelines de déploiement de logiciels et les mécanismes de mise à jour automatisés. Les clients de réseau privé virtuel et les applications de bureau à distance peuvent échouer à établir des connexions sécurisées lorsque leurs certificats remontent aux autorités racine de DigiCert affectées.
Les faux positifs impactent particulièrement les organisations de services financiers, de santé et de commerce électronique qui dépendent fortement des certificats de validation étendue de DigiCert pour les applications destinées aux clients. Les administrateurs système gérant de grands déploiements Windows signalent des centaines d'alertes de sécurité inondant leurs tableaux de bord de surveillance, créant un bruit significatif qui pourrait masquer des menaces de sécurité légitimes.
Étapes immédiates pour restaurer la fonctionnalité des certificats DigiCert
Les administrateurs système doivent immédiatement vérifier leurs magasins de certificats Windows pour s'assurer que les certificats racine de DigiCert restent présents et de confiance. Accédez à la Console de gestion Microsoft (MMC), ajoutez le composant logiciel enfichable Certificats et examinez le dossier Autorités de certification racine de confiance pour les entrées DigiCert Global Root CA et DigiCert High Assurance EV Root CA.
Si Defender a supprimé les certificats, les administrateurs peuvent les restaurer en téléchargeant les certificats racine officiels directement depuis le dépôt de DigiCert et en les important manuellement dans le magasin de certificats Windows. Utilisez la commande certmgr.msc pour accéder au gestionnaire de certificats, cliquez avec le bouton droit sur Autorités de certification racine de confiance, sélectionnez Toutes les tâches > Importer et suivez l'assistant d'installation des certificats.
Pour les environnements d'entreprise, la stratégie de groupe peut distribuer les certificats restaurés sur plusieurs systèmes simultanément. Créez un nouvel objet de stratégie de groupe, accédez à Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique > Autorités de certification racine de confiance et importez les certificats racine de DigiCert pour un déploiement à l'échelle du domaine.
Microsoft recommande d'exclure temporairement les fichiers de certificats affectés des analyses de Defender pendant que l'entreprise résout la signature de faux positifs. Ajoutez des exclusions via les paramètres de sécurité Windows sous Protection contre les virus et menaces > Gérer les paramètres > Ajouter ou supprimer des exclusions, en spécifiant les emplacements des magasins de certificats généralement trouvés dans les répertoires C:\Windows\System32\CertSrv\CertEnroll\.
Les organisations doivent surveiller les avis de sécurité officiels de Microsoft et le catalogue des vulnérabilités exploitées connues de la CISA pour des mises à jour concernant le calendrier de résolution et toute orientation d'atténuation supplémentaire alors que Microsoft travaille à corriger les signatures du moteur de détection.
