Ce qui s'est passé, factuellement
D'après l'enquête publiée par DigiCert et reprise dans la presse spécialisée (rapport Mozilla Bugzilla cité par IT-Connect en mai 2026) :
- Le 2 avril 2026, un attaquant se faisant passer pour un client contacte le support technique de DigiCert.
- Il transmet une archive ZIP contenant un fichier malveillant
.scr(économiseur d'écran Windows). - Un technicien exécute le fichier malgré plusieurs blocages des outils de sécurité.
- L'attaquant récupère les codes d'initialisation de commandes de certificats EV en cours de validation.
- Combinés à des dossiers déjà pré-approuvés, ces codes lui permettent de générer des certificats au nom d'entreprises légitimes.
Le premier malware a été détecté le lendemain. Une seconde machine compromise est restée active environ deux semaines (du 3 au 17 avril 2026) : l'EDR (CrowdStrike) y était mal configuré, les alertes ne remontaient pas vers la console centrale.
Le mode opératoire identifié
Trois caractéristiques rendent cette attaque pédagogique pour une PME :
- Ingénierie sociale via le support. Pas de faille zero-day, pas d'exploit sophistiqué. Un humain qui exécute un fichier qu'il n'aurait pas dû, en environnement entreprise. C'est exactement le scénario que toute PME peut connaître.
- Cible : la chaîne d'approvisionnement. En volant des certificats de signature de code, l'attaquant peut ensuite distribuer du malware légitimement signé sous des marques réputées comme Lenovo et Kingston. C'est une attaque supply chain de manuel.
- Persistance grâce à un EDR mal configuré. CrowdStrike a détecté l'incident initial. Mais sur la deuxième machine, les alertes ne remontaient pas. Pendant deux semaines, l'attaquant est resté présent.
L'acteur identifié est, selon un analyste sécurité cité dans le rapport, un groupe cybercriminel chinois nommé GoldenEyeDog. Le malware diffusé via les certificats volés est Zhong Stealer, conçu pour exfiltrer des données.
Bilan en chiffres
- 60 certificats révoqués sur la période d'exposition.
- 27 directement liés à l'activité de l'attaquant.
- 11 utilisés dans des campagnes malveillantes confirmées.
- 16 supplémentaires identifiés pendant l'enquête de DigiCert.
Les trois leçons pour une PME
1. L'ingénierie sociale franchit toujours la couche technique
L'attaquant n'a exploité aucune faille logicielle. Il a parlé à un humain, lui a transmis un fichier, et a obtenu son exécution. Les blocages des outils de sécurité ont été contournés par décision humaine. Aucun antivirus, aucun EDR ne corrige ce trou : seules la sensibilisation et la procédure le ferment. Voir Phishing : 5 signaux à apprendre à votre équipe.
2. Un EDR non supervisé n'est pas un EDR
CrowdStrike est un EDR de référence. Il a fait son travail. Mais sur la deuxième machine, ses alertes n'étaient pas remontées vers la console centrale. Pendant deux semaines, l'attaquant a continué.
La leçon : déployer un EDR ne suffit pas. Il faut vérifier régulièrement que toutes les machines remontent leurs événements, que la console reçoit les alertes, et qu'un humain les regarde au moins une fois par jour. Pour une PME, cela peut passer par un service Managed (MDR) externalisé, ou un point hebdomadaire avec votre prestataire.
3. Vous êtes exposé même si vous ne signez pas de code
Une PME française ne signe pas de logiciels. Mais elle installe tous les jours des logiciels téléchargés depuis Internet. Quand un certificat EV légitime — celui d'un fabricant connu — est volé, votre antivirus considère le malware comme du code de confiance. La signature numérique perd sa garantie.
Conséquence pratique : une politique de téléchargement claire (sources officielles uniquement, validation côté IT pour les nouveaux logiciels) reste indispensable, même avec un EDR moderne.
À retenir
Comment Scryptoura aurait agi en amont
Sur ce type d'incident, notre Diagnostic Découverte évalue trois points précis : la procédure de réception de fichiers en support / RH / comptabilité, la supervision effective des alertes EDR (qui les regarde, à quelle fréquence), et la segmentation des postes les plus exposés (support client, accueil, comptabilité). Pour un premier aperçu, l'auto-évaluation express donne une indication en 3 minutes.