Le retour des macros

Microsoft annule sa décision de bloquer les macros par défaut. Nous discutons des implications en matière de cybersécurité pour les entreprises.

L’un des moyens les plus courants de diffuser des logiciels malveillants consiste à ajouter des commandes malveillantes aux macros des documents. Dans la grande majorité des cas, il s’agit de macros pour les fichiers Microsoft Office. Il s’agit donc de documents Word, des feuilles de calcul Excel ou de présentations Power Point. L’employé type moyen d’une entreprise manipule chaque jour de nombreux fichiers de ce type.

Ce problème date de plus de 20 ans, et cela fait donc longtemps que nous attendons une solution, pour appeler cela ainsi. En février dernier, Microsoft a annoncé son intention de bloquer l’exécution des macros dans les documents téléchargés depuis internet. Cependant, dès le début du mois de juillet, les utilisateurs de Microsoft Office ont remarqué que cette innovation avait été annulée. Au moment de la publication de cet article, l’entreprise n’avait pas encore publié de déclaration officielle sur cette décision, bien qu’un porte-parole ait précisé qu’elle était temporaire et  » fondée sur des retours des utilisateurs « . Quoi qu’il en soit, c’est le moment de rappeler ce que sont exactement les macros, comment elles peuvent nuire à la cybersécurité des entreprises et comment se protéger contre cette menace.

Que sont les macros, et pourquoi sont elles dangereuses ?

Les utilisateurs de Microsoft Office ont souvent besoin d’automatiser différents processus. Pour cela, il est possible de programmer un certain algorithme ou une séquence d’actions appelée macro. Un exemple simple : un comptable établit chaque mois un rapport standard ; pour gagner du temps, il crée une macro qui met automatiquement en évidence les noms des clients en gras dans la deuxième colonne.

Les macros sont créées en VBA (Visual Basic for Applications), qui est un langage de programmation, certes un peu simplifié, mais un langage de programmation tout de même. Comme c’est souvent le cas, les attaquants peuvent l’utiliser à leurs propres fins.

Il convient de noter ici que la connaissance des macros implique une connaissance assez approfondie de la suite Office, ce qui n’est pas le cas de tous les employés, quoi qu’ils affirment dans leur CV. Certains ne sont même pas conscients de l’existence des macros. Les cybercriminels, quant à eux, utilisent les macros non pas pour créer des algorithmes inoffensifs destinés à automatiser des routines, mais des commandes malveillantes.

Comment fonctionnent-elles ?

Une attaque typique contre une entreprise commence par l’envoi massif d’e-mails malveillants aux employés. Ces messages peuvent ressembler à des offres d’emploi, des nouvelles de l’entreprise, des factures de sous-traitants, des informations sur les concurrents, etc. Le niveau de sophistication n’est limité que par l’imagination des attaquants. L’objectif principal est d’amener le destinataire à ouvrir le fichier joint ou à télécharger un document en cliquant sur le lien fourni, puis à l’ouvrir.

Ce dont les cybercriminels ont besoin, c’est que la macro malveillante contenue dans le fichier s’exécute. Il y a de nombreuses années, les macros intégrées s’exécutaient automatiquement, mais Microsoft a limité cette fonctionnalité et aujourd’hui, à l’ouverture d’un fichier téléchargé en ligne, l’utilisateur est informé que les macros sont désactivées.

Avertissement de sécurité de MS Word :  » Les macros ont été désactivées « 

 

Alors, il n’y a plus de problème, non ? Pas vraiment. De nombreux utilisateurs cliquent sans réfléchir sur le bouton Activer le contenu, permettant ainsi l’exécution automatique desdites macros, ce qui ouvre la porte aux logiciels malveillants. C’est ainsi que les attaquants parviennent souvent à accéder à l’infrastructure de l’entreprise cible. De plus, comme indiqué ci-dessus, la plupart des employés n’ont aucune idée des problèmes qu’un clic innocent sur le bouton Activer le contenu peut entraîner.

Microsoft a enfin pris la seule bonne décision : ne pas laisser le choix à l’utilisateur, mais bloquer par défaut les macros dans les fichiers téléchargés. L’ensemble de la communauté des experts en sécurité informatique a salué la nouvelle, et l’innovation a été mise en œuvre au début du mois d’avril de cette année. Au lieu d’un bouton, les utilisateurs voyaient un avertissement de sécurité avec un lien vers un article à propos des dangers des macros. Mais la joie a été de courte durée : ce changement a été annulé peu après.

Comment vous protéger

Les administrateurs informatiques des grandes entreprises ont toujours pu désactiver les macros au niveau de la politique de sécurité. Si vos flux de travail ne nécessitent pas l’utilisation de macros, nous vous recommandons de faire de même. Si vous le faites, un utilisateur qui ouvre un document contenant une macro verra un avertissement différent :

Notification MS Word

Notification MS Word  » Les macros ont été désactivées par votre administrateur « 

 

Si, pour une raison ou une autre, vous ne disposez pas de cette option, il est essentiel de protéger tous les appareils de travail avec des solutions de sécurité fiables jusqu’à ce que Microsoft réintroduise le blocage par défaut des macros dans les fichiers téléchargés En outre, nous recommandons de former tous les employés de l’entreprise aux bases de la cybersécurité, en insistant sur les principaux points suivants :

  • Ne jamais télécharger puis ouvrir des fichiers inattendus, même s’ils semblent provenir d’une personne ou d’une organisation en qui vous avez confiance. Il est possible qu’ils aient été envoyés par des escrocs.
  • Ne pas accepter aveuglément l’activation du contenu des fichiers téléchargés sur l’internet ou reçus par courrier électronique. Cela ne devrait pas être nécessaire pour un affichage normal du contenu.
  • Si quelqu’un dans un e-mail ou sur un site web vous demande d’activer du contenu, montrez-vous particulièrement méfiant.
Conseils