Supprimer le mot de passe d’un document Office avec DocRecrypt

Avec DocRecrypt, un outil pour Office 2013, les administrateurs peuvent supprimer le mot de passe d’un document et ouvrir un fichier qui leur serait autrement inaccessible.

Les mots de passe Microsoft Office posent parfois quelques problèmes aux administrateurs. Prenons l’exemple d’un utilisateur qui protège un document crucial à l’aide d’un mot de passe, puis quitte la société. Auparavant, l’administrateur n’avait pas le choix : il devait acheter un outil de craquage des mots de passe des documents Office et lancer une attaque en force pour tenter de déterminer le mot de passe du document.

L’arrivée d’Office 2013 a changé la donne : un outil gratuit de Microsoft permet aux administrateurs d’ouvrir les fichiers OOXML, Word, Excel ou PowerPoint qui leur étaient auparavant inaccessibles.

Chiffré

L’outil DocRecrypt sert à supprimer le mot de passe des documents Microsoft Office 2013 ou à leur en attribuer un nouveau. Jusque là, ces documents étaient verrouillés à jamais en cas d’oubli du mot de passe.

Cet outil de Microsoft Office 2013 existe en deux versions à télécharger, 32  et 64 bits. Sa taille reste inférieure à 1 Mo dans les deux cas.

Le fichier téléchargé est un exécutable à extraction automatique. Double-cliquez simplement sur le fichier exécutable, acceptez le contrat de licence et l’outil DocRecrypt s’installe.

Utilisation

DocRecrypt est un outil en ligne de commande, que le programme d’installation place dans le dossier C:\Program Files\Microsoft Office\DocRecrypt.

La syntaxe à utiliser pour DocRecrypt est relativement simple :

DocRecrypt [-p <nouveau mot_de_passe>] –i <fichier ou dossier en entrée> [-o <fichier ou dossier en sortie>] [-q]

DocRecrypt utilise « –i » pour indiquer le nom du fichier à déverrouiller. Cette ligne de commande peut aussi indiquer un dossier entier rempli de documents Office.

Le paramètre facultatif « –p » permet d’affecter un tout nouveau mot de passe Microsoft Office aux documents sensibles. Saisissez simplement le nouveau mot de passe dans le paramètre.

« –o » indique un nouveau fichier ou dossier. Cette option permet aux utilisateurs de créer un document non protégé sans écraser l’original en cours de route.

Le commutateur « –q » sert à exécuter l’outil en mode silencieux, ce qui s’avère particulièrement utile pour l’utiliser dans un script.

Remarquez que ces paramètres sont sensibles à la casse. Vous devez les saisir en minuscules.

Parmi les paramètres énumérés dans la syntaxe ci-dessus, seul le paramètre « –i » est obligatoire. Il sert à spécifier un fichier ou un dossier. Si vous sélectionnez un dossier, l’opération s’applique à tous les documents Office du dossier, à condition qu’ils soient au format Office Open XML. Les documents enregistrés dans des formats Microsoft Office antérieurs seront ignorés.

Pour visualiser le fonctionnement du paramètre « -i », imaginez que vous voulez supprimer le mot de passe d’un document protégé nommé « Texte.docx » et saisissez la commande suivante :

DocRecrypt –i Texte.docx

La commande ci-dessus suppose que le document se trouve dans le même dossier que l’outil DocRecrypt. Comme c’est rarement le cas, vous devrez préciser le chemin d’accès au document protégé et le nom du fichier.

Limites (volontaires) de l'outil

Ce qui soulève une question intéressante. Puisqu’il est si facile de supprimer le mot de passe des documents Microsoft Office, qu’est-ce qui empêche cet outil de devenir le Graal des pirates informatiques ?

En fait, tout le monde ne peut pas utiliser DocRecrypt pour supprimer le mot de passe de n’importe quel document Microsoft Office. L’outil fonctionne à deux conditions : l’administrateur doit posséder la clé privée du certificat de dépôt de clé (escrow certificate) et l’option de clé secrète (escrow key) doit être activée dans le document.

Pour ce faire, les paramètres de Group Policy (Stratégie de groupe) doivent être définis pour pousser les modifications du Registre vers les ordinateurs des utilisateurs finaux. Ces modifications du registre associent automatiquement le certificat de dépôt de clé à tout nouveau document protégé par mot de passe. Comme ces informations sur le certificat de dépôt de clé sont intégrées à l’en-tête du document, les administrateurs peuvent déverrouiller le document s’ils possèdent la clé privée du certificat.

Ce qui nous amène à un deuxième point intéressant : DocRecrypt sert uniquement à déverrouiller les documents Office 2013. De plus, il ne peut être exécuté que sous Windows 7, Windows 8 et Windows Server 2012.

DocRecrypt est un outil précieux pour accéder à des documents protégés dont le mot de passe Microsoft Office n’est pas connu. Comme l’outil repose sur l’existence du certificat, vous devrez d’abord mettre en oeuvre l’infrastructure de clé publique nécessaire et définir les paramètres de Group Policy (Stratégie de groupe). DocRecrypt est utile uniquement si le certificat de dépôt de clé a été associé au document avant l’oubli du mot de passe. Soyez donc proactif si vous avez l’intention d’utiliser cet outil.

Pour approfondir sur Bureautique

Close