Comment détecter les certificats suspects dans une autorité de certification racine de confiance Windows

Gérer les certificats tiers suspects sous Windows peut s’avérer complexe, d’autant plus qu’ils peuvent s’infiltrer via des logiciels malveillants ou même des installations d’apparence légitime. Si votre système présente un comportement anormal ou si vous souhaitez simplement vous assurer de l’absence de certificats douteux, il est judicieux de vérifier votre magasin de certificats. L’objectif est de repérer tout élément indésirable, comme une autorité de certification racine non autorisée ou un certificat auto-signé ayant échappé aux contrôles sans autorisation. La méthode utilisant sigcheck est très pratique car elle compare vos certificats installés avec les autorités de certification racines officielles de confiance de Microsoft et signale toute anomalie. Sur certaines configurations, un certificat inconnu peut être le signe d’un logiciel malveillant ou d’un certificat interne à l’entreprise que vous aviez oublié. Quoi qu’il en soit, effectuer cette vérification régulièrement, notamment lors de nouvelles installations ou d’installations OEM, contribue à renforcer la sécurité de votre système.

Comment vérifier la présence de certificats tiers suspects sous Windows

Méthode 1 : Utilisation de Sigcheck pour détecter les certificats non approuvés

Cet outil est génial car il vérifie vos certificats par rapport à la liste des certificats de confiance de Microsoft, en signalant ceux qui sont inconnus ou potentiellement malveillants. Les problèmes de réseau ou les erreurs HTTPS sont souvent dus à des certificats invalides. Sur de nombreuses machines, les logiciels malveillants installent leur propre autorité de certification racine pour mener des attaques de type « homme du milieu » ou intercepter le trafic — c’est assez étrange, mais ça arrive. Seul hic ? Il faut disposer des droits d’administrateur et télécharger l’outil au préalable.

1. Téléchargez l’archive de l’utilitaire Sigcheck depuis la page Sysinternals et extrayez-la dans un dossier comme c:\tools\sigcheck. Si ce dossier n’existe pas, créez-le. Windows ayant tendance à compliquer les choses, l’extraction peut parfois échouer en cas de permissions incorrectes ; assurez-vous donc d’exécuter le programme en tant qu’administrateur.
2. Ouvrez une invite de commandes en tant qu’administrateur. Pour ce faire, appuyez sur la touche Entrée Windows + R, puis tapez « Ctrl+C » cmdet appuyez sur Entrée Ctrl + Shift + Enter.
3. Placez-vous dans le répertoire où vous avez extrait Sigcheck : cd c:\tools\sigcheck. Je ne sais pas pourquoi, mais parfois la commande ne le reconnaît tout simplement pas à moins que vous ne procédiez ainsi.
4. Exécutez la commande pour analyser le magasin de certificats racine de la machine : sigcheck64.exe -tv root. Vous verrez peut-être une liste de certificats. Attention : si certains d’entre eux présentent des empreintes numériques ou des informations sur l’émetteur qui semblent suspectes, il est conseillé d’approfondir l’analyse.
5. Pour une analyse complète de tous les magasins de certificats, exécutez : .\sigcheck64.exe -tv *. Pour les certificats spécifiques à l’utilisateur, ajoutez -u— donc : \sigcheck64.exe -tuv *. Il arrive que des logiciels malveillants n’installent pas leurs certificats dans le magasin système, mais qu’ils les glissent subrepticement dans le magasin utilisateur ; il est donc conseillé de vérifier les deux.

En quoi est-ce utile ? Sigcheck compare vos certificats installés avec ceux de la liste de confiance de Microsoft et ne signale que les certificats non concordants. Si vous êtes hors ligne, la procédure est un peu plus manuelle : vous devez télécharger le fichier authrootstl.cab depuis le site de Microsoft ( lien ici ) et le placer dans le même dossier que Sigcheck. Cela vous permet d’effectuer des vérifications hors ligne, ce qui est pratique pour les systèmes isolés du réseau ou pour un audit rapide hors ligne.

Dans la plupart des cas, vous ne devriez voir aucun certificat tiers que vous n’avez pas installé vous-même. Si c’est le cas, notamment dans le magasin de certificats racine, il pourrait s’agir de certificats malveillants ou inutiles. Sur les machines jointes à un domaine, n’oubliez pas que certains certificats racine peuvent être déployés via la stratégie de groupe ; par conséquent, ne vous inquiétez pas si vous voyez un élément familier si votre équipe informatique gère votre machine.

Si vous repérez un élément suspect, copiez son empreinte numérique depuis la sortie de Sigcheck et exécutez la commande de suppression.certutil –delstore Root CB19F3F57A4EDB004059DEE436A1989D04275196Vous pouvez également le supprimer via l’éditeur visuel certmgr.msc. Développez simplement Autorités de certification racines de confiance > Certificats, cliquez avec le bouton droit sur le certificat suspect et sélectionnez Supprimer.