Un cybercriminel est parvenu à s’introduire dans les systèmes internes de DigiCert, le géant des certificats numériques. Il est parvenu à dérober des données permettant d’émettre des certificats EV de signature de code. L’objectif : signer des malwares pour les rendre légitimes. Voici ce que l’on sait sur cet incident de sécurité.

Le support client comme point d’entrée

L’incident, détaillé dans un rapport publié par DigiCert, a débuté le 2 avril 2026. La méthode utilisée par les pirates s’appuie sur un classique qui fait toujours des ravages : l’ingénierie sociale. En se faisant passer pour un client auprès du support technique, un pirate a transmis à plusieurs reprises une archive ZIP piégée en indiquant vouloir partager une copie d’écran avec le support.

À l’intérieur de cette archive se cachait en réalité un fichier (un écran de veille Windows). Un technicien de DigiCert est parvenu à exécuter ce fichier sur son poste de travail, tandis qu’il avait été bloqué à plusieurs reprises par les outils de sécurité (ce qui aurait dû l’alerter). Dès le lendemain, soit le 3 avril 2026, les équipes de DigiCert ont pu stopper le processus malveillant.

Mais, malheureusement, une seconde machine a été infectée par le même fichier malveillant. Et, sur cette machine, l’agent EDR CrowdStrike était mal configuré : les alertes n’étaient pas remontées vers la console de gestion centralisée. Cela n’a pas été sans conséquence puisque pendant 2 semaines, le logiciel malveillant est resté actif sur cette machine.

Des codes d’initialisation dérobés et exploités

L’attaquant a utilisé le compte du support compromis pour accéder au portail interne d’assistance client de DigiCert. Ce portail intègre une fonctionnalité permettant aux analystes de voir les comptes clients pour faciliter le dépannage (une sorte de “connexion en tant que”). Le problème, c’est que cette fonctionnalité a exposé des « codes d’initialisation » liés à des commandes de certificats de signature de code EV en attente.

La possession d’un tel code, agissant comme un identifiant à usage unique, couplée à une demande de certificat déjà approuvée, suffit pour générer et récupérer un certificat EV valide. En récoltant ces données sur plusieurs comptes clients, le pirate a pu mettre la main sur un ensemble de certificats.

“Notre enquête ultérieure a révélé que l’attaquant avait réussi à se procurer des codes d’initialisation pour un nombre limité de certificats de signature de code, dont très peu ont ensuite été utilisés pour signer des logiciels malveillants.”, précise DigiCert.

Voici quelques chiffres partagés par DigiCert :

• 60 certificats émis pendant la période d’exposition ont été révoqués par mesure de sécurité.
• 27 certificats étaient directement liés à l’activité de l’attaquant.
• 11 d’entre eux avaient déjà été signalés par des chercheurs en sécurité, ayant été utilisés dans des campagnes malveillantes (et 16 autres ont été identifiés par l’investigation interne de DigiCert).

Ces précieux certificats ont servi à signer des payloads du malware Zhong Stealer, une menace connue pour effectuer le vol d’identifiants et de cryptomonnaies. D’ailleurs, le groupe de cybercriminels chinois GoldenEyeDog serait à l’origine de cette intrusion chez DigiCert, d’après cet analyste. Comme il l’explique et comme le montre l’image ci-dessous, ces certificats EV frauduleux ont été émis au nom d’entreprises très connues, notamment Lenovo et Kingston.

DigiCert affirme qu’il n’y a pas eu d’autres actions malveillantes à part l’utilisation des codes de validation pour obtenir des certificats de signature de code. Fort heureusement, ces certificats sont à présent révoqués. Ils représentaient une véritable menace puisqu’ils permettent de signer un exécutable malveillant et de le présenter avec une signature valide auprès du système d’exploitation (DigiCert étant une autorité de certification de confiance).

Le rapport détaillé sur cet incident est disponible sur cette page.