Les menaces des macros Office 365
⏱️: 5 min – Nicolas Basso, Consultant cybersécurité
Les macros-Office sont un outil puissant permettant d’automatiser des tâches répétitives et de gagner du temps. Cependant, elles représentent également une menace de cybersécurité significative. Cet article vise à expliquer ce qu’est une macro, comment elle peut être exploitée à des fins malveillantes, et comment se protéger contre ces risques.
Qu’est-ce qu’une macro ?
Une macro est une série d’instructions programmées pour automatiser des tâches dans des logiciels comme Microsoft Word. Elles sont écrites en “Visual Basic for Applications” (VBA) et peuvent effectuer des actions variées, comme formater des documents ou exécuter des calculs complexes.
Utilisation légitime des macros
Les macros sont couramment utilisées pour :
- Automatiser des tâches répétitives.
- Créer des modèles de documents.
- Améliorer l’efficacité au travail.
Dans cet article, Microsoft donne des exemples d’utilisation de macro Word pour une utilisation légitime.
Les macros Word comme vecteur de menace
Les macros peuvent également être utilisées par des attaquants pour lancer des cyberattaques. Les cybercriminels exploitent la capacité des macros à exécuter du code pour diffuser des logiciels malveillants, voler des données ou prendre le contrôle de systèmes informatiques.
Exemples de cyberattaques utilisant des macros
Des campagnes de phishing utilisent souvent des documents Word contenant des macros malveillantes. Par exemple, une victime reçoit un e-mail semblant légitime avec une pièce jointe Word. Lorsqu’elle ouvre le document et active les macros, le code malveillant s’exécute, compromettant ainsi le système de la victime.
Mécanismes des attaques par macros
Techniques courantes
- Phishing et ingénierie sociale : Les attaquants envoient des e-mails convaincants pour inciter les utilisateurs à ouvrir des documents Word malveillants et activer les macros.
- Téléchargement et exécution de code malveillant : Une fois les macros activées, elles peuvent télécharger des logiciels malveillants supplémentaires, comme des ransomwares ou des keyloggers, depuis Internet.
Exemple d’attaque
Une macro peut être programmée pour télécharger un fichier exécutable depuis un serveur distant et l’exécuter sur la machine de la victime. Ce fichier peut être un ransomware qui chiffre les données de l’utilisateur et demande une rançon pour les déverrouiller ou un programme plus léger qui se contenterait de voler des données, il y a de nombreuses possibilités.
Dans cet exemple, avec antivirus actif, l’écran de fond représente une machine attaquante. On peut observer qu’avec la simple ouverture de ce document .docm, la machine attaquante a été en mesure de récupérer :
- L’adresse IP de la victime
- Le nom de son PC / éventuel domaine
- Le nom d’utilisateur
- Son mot de passe chiffré
Et ce sans que l’utilisateur soit en mesure de remarquer quoi que ce soit ou que l’antivirus ne bloque le fichier.
Comment se protéger ?
Désactivation des macros par défaut
La première ligne de défense est de désactiver les macros par défaut dans Microsoft Word. Voici comment procéder :
- Ouvrez Word.
- Allez dans « Fichier » > « Options » > « Centre de gestion de la confidentialité ».
- Cliquez sur « Paramètres du Centre de gestion de la confidentialité ».
- Sélectionnez « Paramètres des macros » et cochez « Désactiver toutes les macros avec notification ».
Observez attentivement les fichiers
Un document qui possède des macros se verra attribué le suffixe “m” à la fin de son extension. Un document .docx sera ainsi un document .docm (même chose pour .xlsx → .xlsm) mais ceci est valable pour les versions supérieures à Office 2007, en dessous, ce sera un simple fichier .doc, .xls, etc.
Cette différence se remarque aussi visuellement au travers du logo :
Mais les extensions de fichier peuvent aussi être affichées en accédant aux paramètres d’affichage. Ouvrez un explorateur de fichiers, cliquez sur l’onglet “Affichage” puis sur “Extensions de noms de fichiers ».
N’activez jamais les macros d’une source inconnue
S’il vous est impossible de désactiver les macros, restez vigilants à ne pas les activer manuellement. Cela peut sembler anodin, mais en effet les outils Office ont pour habitude d’afficher différents messages au format d’une bannière jaune située en dessous des menus avec un simple bouton pour valider l’activation d’une fonctionnalité, en atteste cette capture d’écran sur l’activation de macro d’un document Word.
Il est crucial de lire attentivement le message qu’Office vous annonce avant de le valider afin d’éviter les risques de sécurité.
Utilisation d’outils de sécurité
- Antivirus et logiciels anti-malware : Assurez-vous que votre antivirus est à jour et qu’il analyse régulièrement votre système.
- Filtres anti-phishing : Utilisez des filtres pour détecter et bloquer les e-mails de phishing.
- Utilisez des versions récentes et à jour d’Office : Les versions récentes d’Office n’exécutent pas les macros par défaut, à l’instar de plusieurs versions plus anciennes, et permettent grâce à l’extension .docM de vérifier la présence de macro d’un coup d’œil. Mais attention cependant à ne pas y faire aveuglément confiance.
Formation et sensibilisation des utilisateurs
Les utilisateurs doivent être formés pour reconnaître les signes de phishing et comprendre les risques associés aux macros. Ils doivent être encouragés à ne jamais activer les macros dans des documents provenant de sources non vérifiées.
Conclusion
Les macros Word, bien que très utiles, peuvent représenter une menace importante pour la sécurité informatique. La vigilance, la formation et l’utilisation d’outils de sécurité adéquats sont essentielles pour se protéger contre ces risques. En étant conscient des dangers et en prenant des mesures préventives, il est possible de minimiser les risques et de protéger ses données.
Vous souhaitez améliorer la cybersécurité de votre entreprise, contactez-nous.