Le 2 avril 2026, un technicien du support DigiCert a exécuté un fichier .scr transmis par un attaquant se faisant passer pour un client. Cette erreur a ouvert une brèche dans le portail support interne de l'une des plus grandes autorités de certification mondiales, donnant accès à des codes d'émission de certificats EV de signature de code.
Une intrusion par ingénierie sociale ciblée
L'attaquant a contacté le support DigiCert via le chat Salesforce. Malgré quatre tentatives de transmission d'une archive ZIP bloquées par les systèmes de sécurité, la cinquième a réussi : le fichier .scr a été exécuté sur un poste support (ENDPOINT1). L'extension .scr (screensaver Windows) correspond à un binaire PE légitime, parfois moins filtré que .exe selon la configuration des outils de sécurité en place.
L'équipe Trust Operations a détecté et stoppé le processus malveillant sur ENDPOINT1 en moins de 24 heures. Mais un second poste (ENDPOINT2) a été compromis le 4 avril. Sans agent EDR fonctionnel, l'attaquant est resté actif pendant environ deux semaines, jusqu'à ce qu'un chercheur externe signale à DigiCert l'utilisation de ses certificats dans des campagnes malveillantes actives. Sans ce signal externe, la compromission serait restée indétectée.
Des certificats EV comme laissez-passer universel
La cible réelle n'était pas le poste support, mais ce à quoi il donnait accès. Le portail interne disposait d'une fonctionnalité d'impersonation client (« view account as customer »), exposant des codes d'initialisation associés à des commandes de certificats EV approuvées mais non encore délivrées.
Le mécanisme est direct : code d'initialisation + commande approuvée = certificat EV valide, émis sans intervention du client légitime. L'attaquant a collecté ces codes sur plusieurs comptes et plusieurs CAs internes, puis complété les émissions à l'insu des entreprises concernées.
Les certificats Extended Validation sont particulièrement précieux dans ce contexte. Ils exigent normalement une vérification d'identité rigoureuse (registres légaux, présence physique). En contrepartie, Windows SmartScreen accorde d'emblée une réputation propre aux exécutables signés EV, sans période d'apprentissage. Un malware signé avec un certificat EV contourne silencieusement l'avertissement SmartScreen et réduit la suspicion de nombreuses solutions EDR qui accordent davantage de confiance aux binaires signés par une CA reconnue.
Les 27 certificats directement liés à l'attaquant ont été émis sous l'identité d'entreprises légitimes : Lenovo, Kingston Technology, Shuttle Inc. et Palit Microsystems. Ces entreprises n'ont pas été piratées ; leurs commandes de certificats en attente ont été détournées. Leur nom apparaît néanmoins dans le champ signataire de binaires malveillants.
Le payload : Zhong Stealer et GoldenEyeDog
Les certificats frauduleux ont servi à signer des variantes du Zhong Stealer, un infostealer ciblant les credentials navigateurs, les wallets de cryptomonnaies et les cookies de session. Certains chercheurs lui attribuent également des capacités proches d'un RAT.
La chaîne d'infection documentée : phishing par email avec fausse image leurre, exécutable de premier stade, payload de second stade récupéré depuis du stockage cloud (AWS), binaires signés avec les certificats DigiCert EV volés pour maximiser la légitimité perçue.
L'attribution des campagnes de distribution pointe vers GoldenEyeDog (APT-Q-27), groupe criminel d'expression chinoise spécialisé dans le vol de cryptomonnaies et de credentials. Plusieurs chercheurs (Squiblydoo, MalwareHunterTeam, g0njxa) ont lié les certificats DigiCert EV utilisés à ce groupe. L'attribution de l'intrusion chez DigiCert elle-même reste cependant incertaine : il est possible qu'un autre acteur ait piraté DigiCert puis revendu ou utilisé les certificats.
Réponse de DigiCert
DigiCert a révoqué les 60 certificats identifiés dans les 24 heures suivant leur découverte, avec notification au forum CA Community Mozilla (Bugzilla #2033170) conformément aux exigences CA/Browser Forum.
Mesures immédiates appliquées :
- Codes d'initialisation : suppression de leur visibilité dans les outils support (UI et API)
- MFA phishing-resistant : déployé sur l'ensemble du portail support
- Upload de fichiers : contrôles renforcés sur les canaux support
- Comptes compromis : suspension immédiate et désactivation de l'accès Okta FastPass
À plus long terme, DigiCert annonce un accès privilégié just-in-time pour les fonctions sensibles d'émission, une détection d'anomalies dans les systèmes PKI et une revue complète du workflow EV.
Impact collatéral : faux positifs Microsoft Defender
En parallèle de la divulgation, Microsoft a déployé une mise à jour de signatures Defender erronée (Trojan:Win32/Cerdigent.A!dha) signalant les certificats racine DigiCert eux-mêmes comme malveillants, entraînant leur suppression du magasin de confiance Windows (AuthRoot) sur certains systèmes. Deux certificats racine ont été concernés (0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 et DDFB16CD4931C973A2037D3FC83A4D7D775D05E4), générant des alertes massives et des ruptures de confiance HTTPS avant que Microsoft ne déploie le correctif (définition 1.449.431.0).
Un problème structurel de l'écosystème de signature de code
Cet incident s'inscrit dans une tendance plus large d'abus de la confiance accordée aux certificats de signature :
- POORTRY / BurntCigar : driver kernel signé via le programme d'attestation Windows de Microsoft, utilisé pour désactiver les EDR. Plus de 200 variantes actives recensées en septembre 2025, déployées par des groupes aussi variés que Lazarus, Scattered Spider, LockBit ou RansomHub. Chaque soumission génère un certificat feuille unique, rendant le blocage par hash ou par certificat inefficace.
- Microsoft Trusted Signing : service à 9,99 $/mois abusé pour signer des malwares avec des certificats à durée de vie de 3 jours. Des campagnes comme Crazy Evil Traffers ou Lumma Stealer en ont tiré parti, bénéficiant d'un boost de réputation SmartScreen similaire aux EV.
- HijackLoader signé (HarfangLab, octobre 2024) : chargeur signé avec un certificat code-signing authentique, taux de détection quasi nul à l'émergence sur VirusTotal. Payload final : Lumma Stealer.
Le constat commun à ces incidents : la signature de code ne constitue pas un indicateur de confiance absolu. La vérification de révocation (CRL/OCSP) est souvent désactivée ou contournée côté client, laissant des fenêtres d'exploitation potentiellement longues après révocation. Ce n'est pas non plus la première crise de révocation pour DigiCert : en juillet 2024, l'autorité avait dû révoquer en urgence plus de 83 000 certificats TLS en raison d'une défaillance dans la validation de la propriété de domaine.
Sources
Florian BURNEL
Bill Mann
Sinisa Markovic
Catalin Cimpanu
Lawrence Abrams
Alice Climent-Pommeret
Michael Haag