Le 7 février, Microsoft a fait, dans une grande discrétion, une annonce qui va grandement affecter le milieu de la cybersécurité. Dès avril 2022, l'éditeur de logiciel va empêcher les utilisateurs d'activer les macros sur les documents Excel, Word ou encore Powerpoint téléchargés depuis internet.
Le système de macros permet aux utilisateurs de la suite Microsoft Office d'automatiser certaines tâches comme la mise à jour de chiffres depuis une base de données ou l'édition de rapports. Mais cette fonctionnalité est aussi massivement détournée par les cybercriminels pour lancer le téléchargement de leurs logiciels malveillants.
Le changement à venir, demandé par les chercheurs en sécurité depuis des années, va donc bloquer une porte d'entrée sur les ordinateurs des victimes très utilisée par les cybercriminels, et les pousser à revoir leurs méthodes d'attaques.
Plus de bouton pour activer les macros
Aujourd'hui, à l'ouverture d'un fichier Excel ou Word téléchargé depuis internet, les logiciels de Microsoft détectent sa provenance, et bloquent les macros. Un bandeau s'affiche alors en tête du document avec un message - "Avertissement de sécurité : les macros ont été désactivées" -et un bouton "Activer le contenu". Un simple clic sur ce dernier suffit à lever le blocage.
La mise à jour à venir de Microsoft modifie le message d'avertissement et surtout, il retire le bouton d'activation au profit d'un autre, "en savoir plus". Ainsi les utilisateurs n'ont plus de façon directe d'activer les macros potentiellement dangereuses. Pour les responsables de cybersécurité qui doivent gérer les pratiques de milliers d'employés, c'est un grand vecteur de risque en moins. Pour autant, les macros pourront toujours être activées, en allant dans les propriétés du document. Ces quelques clics supplémentaires laissent le temps aux victimes de se rendre compte de leur erreur, alors que l'activation en un clic d'aujourd'hui ne pardonne pas.
Une arme en moins pour la cybercriminalité de masse
A la fin des années 2010, les gangs se sont massivement emparés du détournement des macros. des accès à des ordinateurs, et ainsi mettre un premier pied dans les réseaux informatiques des victimes.
Les plus grandes organisations cybercriminels de ces dernières années comme Emotet, Dridex ou Trickbot utilisent massivement les macros pour déployer leurs logiciels malveillants. Concrètement, ils envoient des millions d'emails de phishing -des messages frauduleux destinés à piéger la victime. Par exemple, ils peuvent se faire passer pour un membre de l'entreprise de leur cible, et prétendre que le document Word ou Excel en pièce jointe contient des informations sur les finances ou les ressources humaines de l'organisation. Ou encore, ils peuvent imiter les impôts, l'Assurance Maladie et d'autres institutions amenées à contacter beaucoup de personnes.
Leur pièce jointe, en apparence inoffensive, contient une macro capable de télécharger un logiciel malveillant. Bien qu'elle soit bloquée par défaut, il suffit que l'utilisateur clique sur le bouton "Activer les contenus" pour l'activer. Dans leurs phishings, les cybercriminels multiplient donc les arguments et les prétextes pour que leur cible clique sur ce bouton, et activent ainsi la commande qui lancera le téléchargement de leur logiciel malveillant.
Une fois ce dernier déployé, les cybercriminels se servent de leur pied sur l'ordinateur de la victime pour remonter au réseau de l'entreprise. Dans un second temps, ils revendent ces accès à des opérateurs de rançongiciels, qui lanceront les cyberattaques dévastatrices qui font les grands titres, à l'image de celle contre Colonial Pipeline.
A cause des protections logicielles, les cybercriminels ne peuvent le plus souvent pas mettre leur logiciel malveillant directement en pièce jointe de l'email, car il sera détecté, et l'email sera donc bloqué. C'est ici que les macros s'avèrent précieuses : elles ne contiennent pas de code malveillant, et il est donc difficile pour un antivirus de repérer la menace. Sans elles, les cybercriminels vont devoir trouver d'autres méthodes pour passer sous les radars de sécurité.
Sujets les + commentés