2. Technos & Medias

  3. Informatique

Cyberattaques : un changement très attendu de Microsoft Word et Excel arrive enfin

Depuis des années, les cybercriminels exploitent massivement les macros, une fonctionnalité de la suite Microsoft Office (Word, Excel, PowerPoint...), pour faire télécharger leurs logiciels malveillants par les victimes. Mais dès avril, ils ne pourront plus aussi facilement abuser de la fonctionnalité, car Microsoft va renforcer le blocage des usages malveillants. C'est toute une méthode d'attaque qui pourrait ainsi disparaître, grâce à la simple disparition... d'un bouton. Explications.
François Manens
Microsoft va enfin bloquer les macros par défaut.
Microsoft va enfin bloquer les macros par défaut. (Crédits : Dado Ruvic)

Le 7 février, Microsoft a fait, dans une grande discrétion, une annonce qui va grandement affecter le milieu de la cybersécurité. Dès avril 2022, l'éditeur de logiciel va empêcher les utilisateurs d'activer les macros sur les documents Excel, Word ou encore Powerpoint téléchargés depuis internet.

Le système de macros permet aux utilisateurs de la suite Microsoft Office d'automatiser certaines tâches comme la mise à jour de chiffres depuis une base de données ou l'édition de rapports. Mais cette fonctionnalité est aussi massivement détournée par les cybercriminels pour lancer le téléchargement de leurs logiciels malveillants.

Le changement à venir, demandé par les chercheurs en sécurité depuis des années, va donc bloquer une porte d'entrée sur les ordinateurs des victimes très utilisée par les cybercriminels, et les pousser à revoir leurs méthodes d'attaques.

Plus de bouton pour activer les macros

Aujourd'hui, à l'ouverture d'un fichier Excel ou Word téléchargé depuis internet, les logiciels de Microsoft détectent sa provenance, et bloquent les macros. Un bandeau s'affiche alors en tête du document avec un message - "Avertissement de sécurité : les macros ont été désactivées" -et un bouton "Activer le contenu". Un simple clic sur ce dernier suffit à lever le blocage.

La mise à jour à venir de Microsoft modifie le message d'avertissement et surtout, il retire le bouton d'activation au profit d'un autre, "en savoir plus". Ainsi les utilisateurs n'ont plus de façon directe d'activer les macros potentiellement dangereuses. Pour les responsables de cybersécurité qui doivent gérer les pratiques de milliers d'employés, c'est un grand vecteur de risque en moins. Pour autant, les macros pourront toujours être activées, en allant dans les propriétés du document. Ces quelques clics supplémentaires laissent le temps aux victimes de se rendre compte de leur erreur, alors que l'activation en un clic d'aujourd'hui ne pardonne pas.

Lire aussi 6 mnComment les cybercriminels détournent Microsoft Excel pour installer des virus

Une arme en moins pour la cybercriminalité de masse

A la fin des années 2010, les gangs se sont massivement emparés du détournement des macros. des accès à des ordinateurs, et ainsi mettre un premier pied dans les réseaux informatiques des victimes.

Les plus grandes organisations cybercriminels de ces dernières années comme Emotet, Dridex ou Trickbot utilisent massivement les macros pour déployer leurs logiciels malveillants. Concrètement, ils envoient des millions d'emails de phishing -des messages frauduleux destinés à piéger la victime. Par exemple, ils peuvent se faire passer pour un membre de l'entreprise de leur cible, et prétendre que le document Word ou Excel en pièce jointe contient des informations sur les finances ou les ressources humaines de l'organisation. Ou encore, ils peuvent imiter les impôts, l'Assurance Maladie et d'autres institutions amenées à contacter beaucoup de personnes.

Leur pièce jointe, en apparence inoffensive, contient une macro capable de télécharger un logiciel malveillant. Bien qu'elle soit bloquée par défaut, il suffit que l'utilisateur clique sur le bouton "Activer les contenus" pour l'activer. Dans leurs phishings, les cybercriminels multiplient donc les arguments et les prétextes pour que leur cible clique sur ce bouton, et activent ainsi la commande qui lancera le téléchargement de leur logiciel malveillant.

Une fois ce dernier déployé, les cybercriminels se servent de leur pied sur l'ordinateur de la victime pour remonter au réseau de l'entreprise. Dans un second temps, ils revendent ces accès à des opérateurs de rançongiciels, qui lanceront les cyberattaques dévastatrices qui font les grands titres, à l'image de celle contre Colonial Pipeline.

A cause des protections logicielles, les cybercriminels ne peuvent le plus souvent pas mettre leur logiciel malveillant directement en pièce jointe de l'email, car il sera détecté, et l'email sera donc bloqué. C'est ici que les macros s'avèrent précieuses : elles ne contiennent pas de code malveillant, et il est donc difficile pour un antivirus de repérer la menace. Sans elles, les cybercriminels vont devoir trouver d'autres méthodes pour passer sous les radars de sécurité.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 15/02/2022 à 9:00
Signaler
On nous reproduit le camp du bien et celui du mal dans l'informatique comme si celui ci était indispensable pour vivre sa vie! Les intermédiaires sont des parasites!
à écrit le 13/02/2022 à 1:32
Signaler
Pas pressés de me séparer de mon vieux windows 7 avec mon vieux pac office . Je vais l'isoler ,pour ne pas subir ces mises à jour .Je reste dubitatif sur les raisons invoquees .
le 14/02/2022 à 10:27
Signaler
En effet plus les versions de windows évoluent et plus elles sont intrusives. W10 est un excellent SE mais la box tourne tout le temps sans même que vous touchiez votre pc, SE qui s'entend donc parfaitement avec notre connexion internet ! W11 n'appor...
à écrit le 12/02/2022 à 18:48
Signaler
C'est à comparer au scandale qui lui aussi est passé rapidement des portes ouvertes sur les processeurs intel. Les ont ils fermés ou bien les ont ils rendu plus discrètes, on peut se poser la question aussi avec microsoft.
à écrit le 12/02/2022 à 18:27
Signaler
On se demande encore pourquoi beaucoup d'entreprises, et surtout la quasi-totalités des administrations (donc nos impôts) n'utilisent pas Open Office, avec Linux. La sécurité semble bien meilleure sur les logiciels libres et en plus c'est gratuit. Ma...
à écrit le 12/02/2022 à 18:22
Signaler
Quand on reçoit par mail une facture en xlsx ou docx, ça fait très louche, personne n'envoie l'original au "client" qui n'a rien commandé, fichier piégé. J'ai une licence Office XP sur le vieux portable Dell (lui ai changé les charnières d'écran à 10...
à écrit le 12/02/2022 à 17:41
Signaler
V0tre 'g0uvernement' veut imposer un pass pour l'exécution des macro W0rd et Exc6l.
à écrit le 12/02/2022 à 13:38
Signaler
on peut utiliser Openoffice pour le quotidien et faire finalement presque aussi rapidement qu'avec la suite office des trucs tres schiades avec python ( que l'ont peut en plus interface avec des bases de donnees, des modules d'ai, etc)........quand i...
le 16/06/2022 à 12:25
Signaler
test

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.