Microsoft se réintéresse enfin aux risques majeurs de cybersécurité posés par les macros intégrées aux documents Office. L’idée n’est pas de bloquer leur usage, mais de limiter leur exploitation par les cybercriminels.

Pour infiltrer une entreprise, les documents Office sont redevenus ces dernières années un vecteur d’attaque en y glissant liens vers des sites de phishing ou des macros pour télécharger des codes malveillants.

Les macros sont une des fonctionnalités les plus puissantes d’Office. Elles permettent de transformer les documents en applications métiers, d’automatiser des opérations répétitives, de faciliter l’intégration automatique d’informations, etc. Bref, elles rendent les documents Office intelligents.

Mais en contrepartie, cette souplesse et cette richesse fonctionnelle peuvent aussi être utilisées comme une arme par des cyberattaquants.

Le problème n’est pas nouveau. Loin de là. Il y a plus d’une douzaine d’années, Microsoft s’était déjà attelé au problème. Plusieurs mesures avaient été prises alors. La première était d’ailleurs de différencier les fichiers sans macros (.docx, xlsx, .pptx…) des fichiers avec macros (.docm, ..xlsm, .pptm…). La seconde était de permettre aux entreprises de signer les macros et de faire en sorte que seuls les documents avec des macros signées puissent être exécutés. Toutefois, afin de ne pas paralyser les entreprises ayant pléthores de documents à macros, cette protection se contente par défaut d’afficher une barre d’alerte et un seul clic d’approbation de l’utilisateur suffit pour activer les macros.

Dans la pratique, bien des utilisateurs en entreprise ont pris l’habitude soit d’aller dans les préférences Office pour ne plus avoir d’alertes et toujours activer les macros, soit d’autoriser les macros en cliquant sur l’alerte sans même se poser la question de savoir si le document qu’il charge a effectivement une bonne raison d’exécuter des macros.
Ce sont ces faiblesses qui permettent aux cyberattaquants de continuer à exploiter la puissance des documents Office pour infiltrer les organisations.

Internet = Danger

Microsoft a enfin décidé de se réintéresser aux risques posés par les documents Office. À partir d’avril 2022, les versions Windows d’Access, PowerPoint, Excel, Word et Visio (à partir des versions 2203) vont par défaut bloquer les macros VBA de tout document Office téléchargé depuis Internet ! Et il faudra plus d’un clic pour débloquer leur utilisation.

Deux choses doivent interpeler DSI et utilisateurs Office :
– Cette nouvelle protection n’affecte que les documents en provenance d’Internet (téléchargés depuis un navigateur ou obtenus en PJ d’un email).
– Les documents produits par l’entreprise et partagés à travers le réseau interne ne sont pas affectés par cette protection ce qui ne perturbera donc pas le travail normal des collaborateurs.

Avec cette modification, lorsque les utilisateurs ouvrent un fichier provenant d’Internet, comme une pièce jointe à un courrier électronique ou un fichier téléchargé depuis un site WEB, et que ce fichier contient des macros, le message suivant s’affiche :

Un peu de technique…

Techniquement, la protection s’appuie sur l’attribut MOTW des fichiers. Cet attribut n’existe que sur les disques formatés en NTFS. Il est attribué par Windows à tout fichier provenant d’une source qui n’est pas de confiance (typiquement Internet).

On reconnaît aisément de tels fichiers depuis l’explorateur Windows. Par exemple, allez dans le dossier Téléchargements de votre ordinateur. Sélectionnez un fichier, cliquez dessus du bouton droit. Si le message « Ce fichier provient d’un autre ordinateur… » s’affiche, c’est que l’attribut MOTW est actif (et que le fichier est considéré comme ne provenant pas d’une source de confiance).

Pour finir, signalons que Microsoft a l’intention à l’avenir d’également appliquer ce blocage par défaut sur les anciennes versions d’Office : Office LTSC, Office 2019, Office 2016, Office 2013.

Pour en savoir plus :
> Helping users stay safe: Blocking internet macros by default in Office – Microsoft Tech Community
> Les macros provenant d’Internet sont bloquées par défaut dans Office – Deploy Office | MS Docs