Office : Microsoft renforce la protection contre les macros malveillantes

C’est une évolution plus que bienvenue – et attendue de longue date, diront certains – : les applications de la suite bureautique Office vont, par défaut, rendre plus difficile, pour l’utilisateur final, l’exécution de macros contenues dans des documents Office, sous Windows. Ce changement sera effectif avec la prochaine version 2203 de la suite, début avril. Mais il faudra attendre pour Office LTSC, Office 2021/2019/2016/2013.

Dans la pratique, explique Microsoft, lorsqu’un utilisateur ouvrira un document Office venu de l’extérieur de son organisation – téléchargé sur Internet ou reçu en pièce jointe d’un courriel –, un message l’avertira que l’exécution des macros a été bloquée. Un bouton lui permettra d’accéder à une page d’information sur les raisons de ce blocage et indiquant comment activer les macros, au lieu d’un bouton permettant d’activer directement les macros. Les administrateurs peuvent déjà activer ce blocage, avec une règle spécifique. À l’avenir, il le sera par défaut.

Ce changement d’approche de l’éditeur a été largement salué par les experts en cybersécurité. De fait, l’utilisation de macros malveillantes est grandement utilisée pour les menaces transmises par courrier électronique : Emotet, Qbot, IcedID, SquirrelWaffle ou encore Trickbot y ont recours. Les macros malicieuses sont mises à profit pour télécharger une charge utile malveillante, telle qu’une balise Cobalt Strike, par exemple.

En septembre 2020, contribuant à une explication plus large sur la manière de se prémunir contre une cyberattaque conduite avec Emotet, Laurent Besset, directeur Cybedéfense chez I-Tracing, commençait par souligner que « à part pour Excel, il n’y a que très peu d’usages légitimes des macros Office. Tout le monde émet des recommandations dans ce sens depuis 5 ans ». Et ceux qui appliquent ces conseils peuvent dormir bien plus tranquilles que les autres.