C'est un scénario bien connu : un employé de l'entreprise reçoit un courriel, avec en pièce jointe un fichier Excel. L'objet de la discussion varie : ressources humaines, projections financières, échanges de fichiers clients...
Convaincu par la crédibilité du message, le destinataire télécharge le document puis l'ouvre pour en voir le contenu. Le piège se referme alors sur lui. Le fichier Excel est un piège qui sert de rampe de lancement au déploiement d'un malware [logiciel malveillant, ndlr]. Ce dernier va causer des dégâts allant de l'extraction de données confidentielles à la paralysie entière du système informatique.
Les macros, menaces numéro 1 par email
Dans ce scénario, les cybercriminels auront exploité les « macros », une fonctionnalité avancée du célèbre logiciel de bureautique. Concrètement, ils écrivent des commandes complexes -composées de texte et de chiffres- dans les cellules du tableur Excel. Lues par le logiciel, ces commandes vont ordonner au système Windows de télécharger et installer un malware. Dans les usages normaux, les macros permettent d'automatiser toutes sortes de tâches : créations de rapports, calculs complexes, importations de bases de données... Et c'est pour cette raison qu'elles disposent d'un tel pouvoir d'action.
Puisque les macros représentent un point d'entrée pour les menaces, bon nombre d'organisations les désactivent par défaut sur leurs systèmes informatiques. Ainsi, même si un de leurs employés télécharge un fichier Excel malveillant, le malware ne sera pas automatiquement téléchargé : il faudra que l'utilisateur appuie sur un bouton « autoriser les macros », manuellement.
Ce premier niveau de protection évite les catastrophes, mais il reste permissif. « Si un pirate arrive à contextualiser son email de façon convaincante, par rapport à l'actualité ou à l'activité de l'entreprise, il peut faire croire à sa cible qu'elle a besoin d'activer les macros », rappelle Adrien Gendre, chief product officer de Vade (ex Vade Secure), une entreprise française spécialisée dans la protection des courriels. Autrement dit, désactiver les macros réduit les chances de succès des pirates, mais il leur suffit de se montrer plus persuasifs pour faire aboutir leur attaque.
Pour notre interlocuteur, si les attaques par macro existent de longue date, le « grand essor de l'usage des macros a commencé en 2014, avec les ransomwares ». Résultat, aujourd'hui, la « très grande majorité » des malwares propagés par email et détectés par les antivirus, passent par les macros de fichier Excel, PowerPoint, Word, ou encore PDF -des types de document dont les entreprises ne peuvent pas se passer, et que les défenseurs ne peuvent donc pas bannir.
Derrière ces attaques se trouvent de grandes organisations cybercriminelles (avec des objectifs financiers) ou des groupes à la solde d'Etats (avec des objectifs stratégiques).
« Nous faisons face à de vrais business, très structurés, capables de segmenter leur chaîne de valeurs : les personnes les plus techniques construisent le socle pour lancer l'attaque, puis des équipes locales vont ajouter des détails spécifiques à la campagne », constate Adrien Gendre.
Microsoft contraint d'intervenir
Depuis deux ans, un type particulier d'attaque par macro a connu une croissance exceptionnelle. Les cybercriminels se sont (re)intéressés à un ancien système de macros d'Excel : XLM, créé en 1992 mais encore fonctionnel. Une des raisons de cet intérêt soudain ? Les macros XLM n'étaient pas parcourues par l'outil d'analyse lancé par Microsoft en 2018, baptisé Antimalware Scan Interface (AMSI), contrairement aux plus récentes macros VBA. Résultat : en 2020, pas loin d'une dizaine d'entreprises de cybersécurité ont tour à tour publié des rapports pour décrire plusieurs vagues d'attaques qui abusaient de l'absence de protection. Les chercheurs s'accordaient : non seulement le mode d'attaque revenait à la mode, mais en plus, il devenait de plus en plus complexe.
Pour contrer ce pic, Microsoft a dû intégrer les macros XLM à l'AMSI en mars 2021, avant d'annoncer début octobre qu'elles seraient désactivées par défaut sur toutes les versions d'Office 365 -c'est-à-dire pour ses abonnés payants- d'ici la fin de l'année. Ces actions ne vont peut-être pas augmenter de beaucoup le niveau de sécurité des utilisateurs, mais elles sont symboliques : Microsoft reconnaît, et prend en partie à sa charge, l'utilisation de macro à des fin malveillantes. Même si les observateurs de la cybersécurité en attendent toujours plus de la part de l'éditeur, c'est un premier pas.
Détecter les comportements suspects
Dans le détail, l'ASMI de Microsoft vient soutenir le travail des antivirus, à commencer par Defender, celui de Microsoft lui-même. Concrètement, il va mieux exposer la composition des fichiers, et celle des macros. C'est une aide bienvenue, car dénicher les attaques n'est pas chose facile pour les antivirus. « Il faut garder à l'esprit qu'il n'y a pas de menace directement dans les macros », rappelle Adrien Gendre. Le document lui-même ne contient pas de malware, il ne fait que lancer leur installation.
Face aux détections, les cybercriminels redoublent sans cesse de créativité pour cacher -ou « obfusquer » dans le jargon- leurs macros malveillantes (entre autres méthodes d'évasion). Au lieu de se contenter d'écrire les commandes qui permettent de lancer l'attaque, ils vont les enrober de tout un texte dont l'unique but est de perdre les algorithmes de détection. Ils créent ce que Microsoft appelle une « armure », dans le but de parasiter les antivirus. Et c'est cette armure que l'ASMI doit lever, pour « exposer le code malveillant à des niveaux de vérification améliorés. »
Du côté de Vade, « on ne cherche pas à détecter la menace, mais un comportement particulier ». Concrètement, les outils de l'entreprise française vont tenter d'évaluer les comportements d'obfuscation (taille de la macro, formatage des variables... ) plutôt que le malware lui-même. « Si la manière dont le code est constitué ne paraît pas légitime, on bloque, alors même qu'on ne sait pas qu'elle est précisément la menace », tranche Adrien Gendre.
Cette philosophie de défense, de plus en plus répandue, permet de ne pas se heurter à un jeu du chat et de la souris avec les pirates, capables de créer des milliers de versions uniques de leurs macros malveillantes. Historiquement, les antivirus détectent les menaces par leur signature -une empreinte très précise, définie à partir de leur code. Si le malware change ne serait-ce que très légèrement de structure, sa signature sera aussi modifiée. En taclant un comportement plutôt que des milliers de signatures, les défenseurs essaient ainsi de reprendre l'initiative. Du moins, jusqu'à ce que les cybercriminels innovent à nouveau.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés