Netcrook Logo
👤 CRYSTALPROXY
🗓️ 05 Mar 2026  

Signé, scellé, livré : comment les hackers ont détourné la confiance pour diffuser des malwares lors de réunions

Les cybercriminels exploitent des certificats numériques volés pour faire passer des malwares via de fausses invitations Zoom et Teams, contournant ainsi les défenses traditionnelles.

Lundi matin. Vous ouvrez votre boîte mail et trouvez une nouvelle invitation à une réunion Teams de la part de votre patron. L’objet est urgent : « Mise à jour de sécurité requise - Rejoignez maintenant. » Vous cliquez, pensant assister à un appel de routine. En quelques minutes, votre ordinateur est discrètement compromis et les hackers ont un accès à votre entreprise. Bienvenue dans la nouvelle ère du phishing, où la confiance elle-même devient une arme.

L’anatomie d’un vol de confiance

La dernière campagne de phishing ne repose pas sur des fautes d’orthographe ou des liens suspects. Elle exploite au contraire les mécanismes mêmes censés nous protéger : les certificats numériques. Ces signatures cryptographiques, en particulier les prestigieux certificats Extended Validation (EV), signalent au système d’exploitation qu’un fichier est légitime. Mais que se passe-t-il lorsque ces certificats tombent entre de mauvaises mains ?

Les équipes de sécurité de Microsoft ont retracé une vague d’attaques où des hackers ont utilisé un certificat EV compromis de TrustConnect Software PTY LTD. Leur objectif : inciter les utilisateurs à télécharger des fichiers malveillants déguisés en mises à jour de routine pour des outils essentiels comme Zoom et Microsoft Teams. L’attaque commence par un e-mail convaincant ou un PDF flouté, attirant les victimes vers un faux site web qui imite un centre de téléchargement officiel et insiste sur le fait que leur logiciel n’est plus à jour.

Une fois que l’utilisateur télécharge et exécute le fichier - nommé innocemment msteams.exe ou adobereader.exe - les ennuis commencent. Le fichier agit comme un shell, installant silencieusement des outils de surveillance et de gestion à distance (RMM). Ces outils, légitimes entre les mains du personnel informatique, deviennent des portes dérobées furtives pour les attaquants. Mais la compromission initiale n’est qu’un début : des commandes PowerShell encodées déclenchent une seconde vague, déployant d’autres logiciels comme ScreenConnect et MeshAgent pour renforcer l’accès des hackers.

Pourquoi les signatures numériques ne suffisent plus

Historiquement, une signature numérique vérifiée signifiait qu’un fichier était digne de confiance. Mais comme le souligne Jason Soroko de Sectigo, « Cette hypothèse n’est plus valable dans un monde où les attaquants volent régulièrement des clés de signature. » Une signature valide n’est désormais qu’un indice parmi d’autres, pas une garantie. Les défenses modernes doivent prendre en compte le contexte - réputation du signataire, comportement du fichier, modes de distribution - pour évaluer réellement le risque.

Plus inquiétant encore, certains fichiers malveillants de cette campagne continuaient de fonctionner même après la révocation de leurs certificats. Cela révèle une faille dans la vérification de la confiance par les organisations et souligne l’urgence d’une approche « zero trust » et multicouche - où chaque fichier, même « signé », est traité avec suspicion.

Prendre une longueur d’avance sur le phishing

À mesure que les hackers gagnent en sophistication, la frontière entre le sûr et le suspect s’estompe. Les experts recommandent d’ignorer toute demande de mise à jour reçue par e-mail et de s’appuyer exclusivement sur les boutiques d’applications officielles ou les canaux vérifiés de l’entreprise pour les mises à jour logicielles. Pour les équipes de sécurité, il est temps de considérer les signatures numériques comme une pièce d’un puzzle bien plus vaste - où la confiance se mérite, et ne se présume pas.

WIKICROOK

  • Certificat Extended Validation (EV) : Un certificat Extended Validation (EV) est un certificat numérique qui offre le plus haut niveau d’authentification de site web en vérifiant l’identité légale de l’organisation.
  • Outils de surveillance et de gestion à distance (RMM) : Les outils RMM permettent aux professionnels IT de contrôler, mettre à jour et dépanner à distance des ordinateurs et réseaux pour un support efficace.
  • PowerShell : PowerShell est un outil de script Windows utilisé pour l’automatisation, mais souvent exploité par les attaquants pour mener des actions malveillantes de façon furtive.
  • Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Modèle Zero Trust : Le modèle Zero Trust est un cadre de sécurité qui exige une vérification continue des utilisateurs et des appareils, sans jamais accorder de confiance par défaut, afin de renforcer la protection des données.
Phishing Digital Certificates Cybersecurity
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news