IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office,
Afin de lutter contre les ransomwares et d'autres logiciels malveillants

Le , par Bill Fassinou

29PARTAGES

7  0 
Alors que les cyberattaques augmentent, Microsoft annonce un changement important dans sa suite bureautique Office visant à réduire les risques et les fenêtres d'attaques. La firme de Redmond a annoncé lundi qu'elle allait bloquer par défaut l'exécution de macros VBA téléchargées depuis Internet dans cinq applications Office, notamment Access, Excel, PowerPoint, Visio et Word. Ce changement devrait constituer un sérieux obstacle pour les gangs de logiciels malveillants, qui s'appuient sur la ruse pour inciter les utilisateurs à autoriser l'exécution d'une macro afin d'installer des maliciels sur leurs systèmes.

Les macros constituent un vecteur d'attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reçoivent généralement un document par courrier électronique ou qu'ils sont invités à télécharger sur un site Web. À l'ouverture du fichier par la victime, l'attaquant laisse généralement un message demandant à l'utilisateur de permettre l'exécution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cybersécurité soient capables de reconnaître ce piège et de se faire quand même infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d'Office ignorent encore cette technique.



Ils finissent alors par suivre les instructions fournies, s'infectant eux-mêmes avec des logiciels malveillants. La gestion de ce problème a été une épine dans le pied de Microsoft, car les macros VBA sont souvent utilisées dans les entreprises pour automatiser certaines opérations et tâches lors de l'ouverture de certains fichiers, comme l'importation de données et la mise à jour du contenu du document à partir de sources dynamiques. Depuis le début des années 2000, Microsoft a tenté de résoudre ce problème en affichant un léger avertissement de sécurité sous la forme d'une barre d'outils en haut du document.

Mais cet avertissement contenait également des contrôles permettant aux utilisateurs d'exécuter les macros. Cependant, à partir du début du mois d'avril 2022, les utilisateurs des logiciels Officie Access, Excel, PowerPoint, Visio et Word ne pourront plus activer les macros dans des documents non fiables téléchargés sur Internet. Ce changement, réclamé depuis des années par les chercheurs en sécurité, est perçu comme une barrière sérieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs à autoriser l'exécution d'une macro infectée afin d'installer des logiciels malveillants sur leurs systèmes.



Avec ce changement, lorsque des fichiers qui utilisent des macros seront téléchargés depuis Internet, ces macros seront désormais entièrement désactivées par défaut. Contrairement aux anciennes versions d'Office, qui affichent une bannière d'alerte sur laquelle il est possible de cliquer pour autoriser l'exécution des macros, la nouvelle version de la bannière ne propose aucun moyen de les activer. Selon Microsoft, le changement sera présenté en avant-première à partir d'avril dans la version 2203 d'Office. Il sera étendu plus tard à tous les utilisateurs de la version Microsoft 365 d'Office mise à jour en permanence à partir de juin.

Microsoft prévoit également de rétroporter le changement à d'autres versions antérieures d'Office, telles qu'Office LTSC, Office 2021, Office 2019, Office 2016 et Office 2013. Les versions Mac, iOS, Android et Web de la suite bureautique ne seront pas concernées. Une fois que la mise sera déployée, Office peut savoir quelles macros ont été téléchargées depuis Internet ou depuis un partage en réseau à l'aide d'une balise "Zone.Identifier", du moins lorsque le fichier est enregistré sur un volume NTFS. Cette marque dite "mark-of-the-web" (MOTW) est déjà utilisée dans Office, notamment dans la bannière d'alerte actuelle.

Lorsqu'Office voit une balise "mark-of-the-web", il ouvre le fichier en lecture seule via le mode "Protected View", au cas où il serait malveillant. Si les utilisateurs le souhaitent toutefois, ils pourront ouvrir ces macros. Pour ce faire, ouvrez les propriétés de n'importe quel fichier téléchargé sur Internet et vous pouvez cliquer sur un bouton "débloquer" qui supprime la balise "mark-of-the-web". Comme pour de nombreuses améliorations de la sécurité, il ne s'agit pas tant de rendre les choses impossibles à faire que d'ériger des barrières à hauteur de cheville pour protéger les utilisateurs contre les clics accidentels ou les simples erreurs.



Les organisations qui utilisent des macros pourront également modifier ce paramètre via la stratégie de groupe. Elles pourront le faire en plaçant les fichiers contenant des macros dans des "emplacements de confiance" ou en signant numériquement leurs macros. Par ailleurs, Microsoft estime qu'une fois mise en place, cette mesure aura un impact sur la distribution d'un grand nombre de souches de logiciels malveillants de base, mais aussi sur de nombreuses campagnes d'espionnage à motivation financière et politique.

Bien sûr, les auteurs de ces attaques poursuivront très probablement leurs œuvres en utilisant d'autres techniques. Enfin, rappelons qu'auparavant, Microsoft avait également bloqué l'exécution de macros Excel 4.0 (XLM) après des abus similaires de la part de gangs de maliciels.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Cette mesure permettra-t-elle réellement de réduire les risques d'être infecté par des logiciels malveillants cachés dans les macros ?

Voir aussi

La DINUM estime que Microsoft 365 n'est pas conforme à la stratégie « Cloud au centre » de l'État français, dans une circulaire adressée aux secrétaires généraux des ministères

Microsoft Office 2021 arrivera au deuxième semestre de l'année et prendra en charge le mode sombre, il sera livré en deux versions et sera concédé à vie pour un forfait unique

Microsoft lance Power Fx, un nouveau langage de programmation low-code open source basé sur Excel

Microsoft apporte JavaScript à Excel par l'intermédiaire d'une nouvelle API, pour permettre aux développeurs de créer des types de données personnalisés dans Excel

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 24/07/2022 à 14:57
Désactiver par défaut les macros est un cache-misère, et non une vraie solution au problème. Les entreprises qui utilisent les macros sous Excel, et elles sont nombreuses, auront vite fait de désactiver l'option. C'est comme si on n'avait rien fait au final.

Ce qu'il faudrait, c'est un VBA8 tournant dans un environnement d'exécution sécurisé, et sans usage possible des composants COM, ActiveX et autres DLL non managées. Mais ça, Microsoft, n'est pas prêt à le faire.
4  0 
Avatar de Pierre Fauconnier
Responsable Office & Excel https://www.developpez.com
Le 08/02/2022 à 21:11
Citation Envoyé par TotoParis Voir le message
Faux[...]
Losrque l'on télécharge un fichier Office du net, même simplement le déplacer d'un dossier à l'autre, on a une alerte macro, en plus de l'extension qui précise qu'il y a des macros... Si on ne sait pas lire cet avertissement, on ne saura pas mieux se protéger. Donc je persiste et signe: Ca va juste être plus chi***, mais les gens qui cliquaient sans réfléchir vont continuer à faire des con*** en matière de sécurité informatique, que ce soit sur Office ou autre.

Question: Es-tu un spécialiste de la suite MS Office?
3  1 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 11/07/2022 à 8:58
C'est pas en mettant un bouton pour débloquer les macros qu'on va améliorer la sécurité du bouzin. Ce qui faudrait, c'est un VBA8 dont l'environnement d'exécution aurait des privilèges restreints : pas d'accès au disque et aux composants COM (sauf liste blanche définie par l'utilisateur).

Ou mieux encore : Microsoft jette VBA pour le remplacer par un IDE basé sur .NET Core dans sa suite Office.
2  0 
Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 08/02/2022 à 21:45
Et ajoutons cet autre piège :

Le module complémentaire PowerPoint utilisé pour diffuser des fichiers malveillants

Je ne connaissais pas les fichiers ppam...
1  1 
Avatar de Pierre Fauconnier
Responsable Office & Excel https://www.developpez.com
Le 09/02/2022 à 6:02
En quoi est-ce un piège? Les gens sont responsables de ce qu'ils font sur leur pc, et devraient savoir que tout fichier contenant des macros est potentiellement dangereux, qu'il s'agisse de xlsm, docm, xltm, dotm, pptm, potm, ppam, xlam etc.

Que jusqu'à la version 2003 comprise, on ait pu avoir des problèmes parce que les extensions étaient les mêmes pour les fichiers avec et sans macros, je peux +/- le comprendre, mais depuis la version 2007 et le format open xml, les extensions sont explicites: Ca se termine par m donc macro potentielle donc danger potentiel.

Le problème n'est pas la sécurité des fichiers, mais bien le manque de formation et de responsabilisation des utilisateurs. Dans la plupart des boites dans lesquelles je vais former les utilisateurs, l'IT a masqué les extensions de fichiers et les gens ouvrent n'importe quel fichier téléchargé du net sans aucune gêne ni aucun questionnement. une des premières choses que je fais en formation, c'est de distribuer un fichier aux participants et de leur demander de l'ouvrir. Ils reçoivent alors un beau message à l'écran leur disant que le disque vient d'être formaté et qu'ils ont perdu toutes leurs données. Panique assurée, puis j'explique les "gestes barrières" qui permettent de se prémunir de cela.

Lorsque l'on ouvre un fichier qui vient d'ailleurs, les versions actuelles demandent si on veut modifier le fichier, puis s'il y a des macros, on a une alerte demandant si on veut les activer ou pas. C'est la faute à qui si il y a des problèmes après ça?
0  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 09/02/2022 à 12:03
Il faut clairement faire quelque chose, le problème des macro malveillantes existe depuis toujours...

Je ne connais pas bien l'écosystème des macro, mais il me semble que le problème est qu'il y a une indistinction entre les macro banales qui devraient être activées par défaut (c'est à dire des macro qui tel javascript peuvent s'exécuter dans un bac à sable sans risque) et les macro qui accèdent au système (écriture, exécution...) qui clairement devraient être bloquées sur une installation par défaut (Me Michu utilise word pour du traitement de texte, pas comme plateforme de développement logiciel...).
0  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 09/02/2022 à 12:19
Citation Envoyé par Pierre Fauconnier Voir le message
En quoi est-ce un piège? Les gens sont responsables de ce qu'ils font sur leur pc
C'est un point de vue, mais c'est pas une culture de la sécurité.

Un politique de sécurité, c'est qu'un système devrait être sécurisé par défaut, y compris sécurisé des erreurs de l'utilisateur. Je touche un peu en informatique et je ne connaissais pas toutes ces extensions exotiques (que j'aurais scannées et ouvertes seulement dans un bac à sable), mais ça m'arrive de cliquer par erreur avec la fatigue sur la mauvaise icône ou le mauvais bouton.

Quand on utilise des outils qui peuvent écraser un disque à 01h, si j'ai le choix entre dd en console et une GUI qui me dit "attention, vous allez écraser + description de la partition, veuiller écrire le nom exact de la partition pour continuer.", ben clairement je ne prends pas dd.

C'est comme Tchernobyl vs une centrale française. Dans la 1ère, les opérateurs peuvent décider d'ignorer tous les avertissement et forcer une par une les sécurités. Dans l'autre, la machine détecte et déclenche par conception automatiquement toutes les sécurités avec plusieurs niveau de redondance physique, quoiqu'en pense l'utilisateur.
0  0 
Avatar de sinople
Membre chevronné https://www.developpez.com
Le 09/02/2022 à 12:19
Le problème n'est pas la sécurité des fichiers, mais bien le manque de formation et de responsabilisation des utilisateurs...
Effectivement tant que l'utilisateur clic sur n'importe quoi sans se poser trop de question, t'auras toujours une porte d'entrée potentielle grande ouverte même si celle à côté est fermée à double tour.


Je ne connais pas bien l'écosystème des macro, mais il me semble que le problème est qu'il y a une indistinction entre les macro banales (c'est à dire des macro qui tel javascript peuvent s'exécuter dans un bac à sable sans risque) et les macro qui accèdent au système (écriture, exécution...) qui clairement devraient être bloquées sur une installation par défaut (Me Michu utilise word pour du traitement de texte, pas comme plateforme de développement logiciel...).
C'est une problématique bien connue de l'éditeur, étant donnée que dans les environnements moderne (.Net & Cie) il me semble qu'il fait une distinction de niveau de confiance nécessaire pour l'exécution de l'application en fonction des fonctionnalités accédée.

Malheureusement pour les macros Office, ça n'a jamais évolué dans ce sens.
0  0 
Avatar de Fagus
Membre chevronné https://www.developpez.com
Le 10/02/2022 à 12:20
Citation Envoyé par Pierre Fauconnier Voir le message

Que jusqu'à la version 2003 comprise, on ait pu avoir des problèmes parce que les extensions étaient les mêmes pour les fichiers avec et sans macros, je peux +/- le comprendre, mais depuis la version 2007 et le format open xml, les extensions sont explicites: Ca se termine par m donc macro potentielle donc danger potentiel.
ça n'a pas l'air si tranché que ça. Je suis tombé par hasard sur ce post http://blog.redxorblue.com/2018/07/e...th-remote.html qui explique qu'on peut juste éditer un docx pour inclure une macro en ligne, et comment cette astuce va percer les solutions de défense...

Mais bon, la manip de microsoft va bloquer beaucoup de charges virales, et pour les entreprises, c'est pas si affreux non plus, enfin, à partir du moment où on a diffusé le certificat pour signer les macros...
Sans certificat, c'est juste un clic droit dans explorer sur le fichier sur la case débloquer.
0  0 
Avatar de sanderbe
Membre éclairé https://www.developpez.com
Le 25/07/2022 à 15:39
Bonjour,

Microsoft bloquera les macros Office par défaut à partir du 27 juillet afin de lutter contre les ransomwares et d'autres logiciels malveillants. Microsoft a confirmé cette semaine qu'il commencerait bientôt à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office après avoir discrètement annulé le changement plus tôt ce mois-ci.

Quel est votre avis sur le sujet ?
C'est d'un absurdité sans nom .

Parfois un doc xlsm a besoin justement d'une ouverture auto. Avec un filtre + blocage avoir du code vba ne sert donc à rien

Après il reste le xls ^^ Eh oui xls peut aussi contenir et faire fonctionner du vba ^^ . XLSM existe depuis Excel 2007/2010 .

Cette mesure permettra-t-elle réellement de réduire les risques d'être infecté par des logiciels malveillants cachés dans les macros ?
Pas du tout.
0  0