{"id":19185,"date":"2022-07-22T16:46:47","date_gmt":"2022-07-22T14:46:47","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19185"},"modified":"2022-07-22T16:47:26","modified_gmt":"2022-07-22T14:47:26","slug":"macros-microsoft-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/macros-microsoft-2022\/19185\/","title":{"rendered":"Le retour des macros"},"content":{"rendered":"

L\u2019un des moyens les plus courants de diffuser des logiciels malveillants consiste \u00e0 ajouter des commandes malveillantes aux macros des documents. Dans la grande majorit\u00e9 des cas, il s\u2019agit de macros pour les fichiers Microsoft Office. Il s\u2019agit donc de documents Word, des feuilles de calcul Excel ou de pr\u00e9sentations Power Point. L\u2019employ\u00e9 type moyen d\u2019une entreprise manipule chaque jour de nombreux fichiers de ce type.<\/p>\n

Ce probl\u00e8me date de plus de 20 ans, et cela fait donc longtemps que nous attendons une solution, pour appeler cela ainsi. En f\u00e9vrier dernier, Microsoft a annonc\u00e9 son intention de bloquer l\u2019ex\u00e9cution des macros dans les documents t\u00e9l\u00e9charg\u00e9s depuis internet. Cependant, d\u00e8s le d\u00e9but du mois de juillet, les utilisateurs de Microsoft Office<\/a> ont remarqu\u00e9 que cette innovation avait \u00e9t\u00e9 annul\u00e9e. Au moment de la publication de cet article, l\u2019entreprise n\u2019avait pas encore publi\u00e9 de d\u00e9claration officielle sur cette d\u00e9cision, bien qu\u2019un porte-parole ait pr\u00e9cis\u00e9 qu\u2019elle \u00e9tait temporaire et \u00a0\u00bb fond\u00e9e sur des retours des utilisateurs \u00ab\u00a0. Quoi qu\u2019il en soit, c\u2019est le moment de rappeler ce que sont exactement les macros, comment elles peuvent nuire \u00e0 la cybers\u00e9curit\u00e9 des entreprises et comment se prot\u00e9ger contre cette menace.<\/p>\n

Que sont les macros, et pourquoi sont elles dangereuses ?<\/h2>\n

Les utilisateurs de Microsoft Office ont souvent besoin d\u2019automatiser diff\u00e9rents processus. Pour cela, il est possible de programmer un certain algorithme ou une s\u00e9quence d\u2019actions appel\u00e9e macro. Un exemple simple : un comptable \u00e9tablit chaque mois un rapport standard ; pour gagner du temps, il cr\u00e9e une macro qui met automatiquement en \u00e9vidence les noms des clients en gras dans la deuxi\u00e8me colonne.<\/p>\n

Les macros sont cr\u00e9\u00e9es en VBA (Visual Basic for Applications), qui est un langage de programmation, certes un peu simplifi\u00e9, mais un langage de programmation tout de m\u00eame. Comme c\u2019est souvent le cas, les attaquants peuvent l\u2019utiliser \u00e0 leurs propres fins.<\/p>\n

Il convient de noter ici que la connaissance des macros implique une connaissance assez approfondie de la suite Office, ce qui n\u2019est pas le cas de tous les employ\u00e9s, quoi qu\u2019ils affirment dans leur CV. Certains ne sont m\u00eame pas conscients de l\u2019existence des macros. Les cybercriminels, quant \u00e0 eux, utilisent les macros non pas pour cr\u00e9er des algorithmes inoffensifs destin\u00e9s \u00e0 automatiser des routines, mais des commandes malveillantes.<\/p>\n

Comment fonctionnent-elles ?<\/h2>\n

Une attaque typique contre une entreprise commence par l\u2019envoi massif d\u2019e-mails malveillants aux employ\u00e9s. Ces messages peuvent ressembler \u00e0 des offres d\u2019emploi, des nouvelles de l\u2019entreprise, des factures de sous-traitants, des informations sur les concurrents, etc. Le niveau de sophistication n\u2019est limit\u00e9 que par l\u2019imagination des attaquants. L\u2019objectif principal est d\u2019amener le destinataire \u00e0 ouvrir le fichier joint ou \u00e0 t\u00e9l\u00e9charger un document en cliquant sur le lien fourni, puis \u00e0 l\u2019ouvrir.<\/p>\n

Ce dont les cybercriminels ont besoin, c\u2019est que la macro malveillante contenue dans le fichier s\u2019ex\u00e9cute. Il y a de nombreuses ann\u00e9es, les macros int\u00e9gr\u00e9es s\u2019ex\u00e9cutaient automatiquement, mais Microsoft a limit\u00e9 cette fonctionnalit\u00e9 et aujourd\u2019hui, \u00e0 l\u2019ouverture d\u2019un fichier t\u00e9l\u00e9charg\u00e9 en ligne, l\u2019utilisateur est inform\u00e9 que les macros sont d\u00e9sactiv\u00e9es.<\/p>\n

Avertissement de s\u00e9curit\u00e9 de MS Word : \u00a0\u00bb\u00a0Les macros ont \u00e9t\u00e9 d\u00e9sactiv\u00e9es\u00a0\u00ab\u00a0<\/p><\/div>\n

\u00a0<\/p>\n

Alors, il n\u2019y a plus de probl\u00e8me, non ? Pas vraiment. De nombreux utilisateurs cliquent sans r\u00e9fl\u00e9chir sur le bouton Activer le contenu, permettant ainsi l\u2019ex\u00e9cution automatique desdites macros, ce qui ouvre la porte aux logiciels malveillants. C\u2019est ainsi que les attaquants parviennent souvent \u00e0 acc\u00e9der \u00e0 l\u2019infrastructure de l\u2019entreprise cible. De plus, comme indiqu\u00e9 ci-dessus, la plupart des employ\u00e9s n\u2019ont aucune id\u00e9e des probl\u00e8mes qu\u2019un clic innocent sur le bouton Activer le contenu peut entra\u00eener.<\/p>\n

Microsoft a enfin pris la seule bonne d\u00e9cision : ne pas laisser le choix \u00e0 l\u2019utilisateur, mais bloquer par d\u00e9faut les macros dans les fichiers t\u00e9l\u00e9charg\u00e9s. L\u2019ensemble de la communaut\u00e9 des experts en s\u00e9curit\u00e9 informatique a salu\u00e9 la nouvelle, et l\u2019innovation a \u00e9t\u00e9 mise en \u0153uvre au d\u00e9but du mois d\u2019avril de cette ann\u00e9e. Au lieu d\u2019un bouton, les utilisateurs voyaient un avertissement de s\u00e9curit\u00e9 avec un lien vers un article<\/a> \u00e0 propos des dangers des macros. Mais la joie a \u00e9t\u00e9 de courte dur\u00e9e : ce changement a \u00e9t\u00e9 annul\u00e9 peu apr\u00e8s.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Les administrateurs informatiques des grandes entreprises ont toujours pu d\u00e9sactiver les macros au niveau de la politique de s\u00e9curit\u00e9. Si vos flux de travail ne n\u00e9cessitent pas l\u2019utilisation de macros, nous vous recommandons de faire de m\u00eame. Si vous le faites, un utilisateur qui ouvre un document contenant une macro verra un avertissement diff\u00e9rent :<\/p>\n

\"Notification

Notification MS Word \u00a0\u00bb Les macros ont \u00e9t\u00e9 d\u00e9sactiv\u00e9es par votre administrateur\u00a0\u00ab\u00a0<\/p><\/div>\n

\u00a0<\/p>\n

Si, pour une raison ou une autre, vous ne disposez pas de cette option, il est essentiel de prot\u00e9ger tous les appareils de travail avec des solutions de s\u00e9curit\u00e9 fiables<\/a> jusqu\u2019\u00e0 ce que Microsoft r\u00e9introduise le blocage par d\u00e9faut des macros dans les fichiers t\u00e9l\u00e9charg\u00e9s En outre, nous recommandons de former tous les employ\u00e9s de l\u2019entreprise aux bases de la cybers\u00e9curit\u00e9, en insistant sur les principaux points suivants :<\/p>\n