Tromper quelqu’un en activer des macros sur un fichier Microsoft Excel ou Word téléchargé est une vieille châtaigne de hacker. Ce seul clic d’une cible crée un pied pour que les attaquants prennent le contrôle de leurs appareils. Cette semaine, cependant, Microsoft a annoncé une modification apparemment mineure avec des implications massives : à partir d’avril, les macros seront désactivées par défaut dans les fichiers téléchargés sur Internet.
Les macros sont de petits logiciels utilisés pour automatiser des tâches telles que la collecte de données sans qu’il soit nécessaire de développer des outils ou des applications supplémentaires. Ils peuvent être écrits directement dans le langage de programmation Visual Basic pour Applications de Microsoft ou configurés via des outils de traduction qui transformeront une série d’étapes en une macro VBA, aucune compétence en codage n’est requise. Les entreprises en dépendent fortement, en particulier celles qui disposent d’une infrastructure héritée, et elles jouent un rôle crucial dans tous les domaines, des services financiers aux organisations gouvernementales. Mais en tant qu’utilisateur individuel de Microsoft 365, il n’est pas inhabituel que votre seule interaction avec les macros ait été de cliquer sur ce bouton « autoriser » embêtant ou de savoir l’éviter.
Pour les attaquants, la possibilité d’écrire de petits programmes dans des applications massives et fiables comme Excel ou Word crée l’opportunité de développer ce qui est essentiellement des virus de macro. Les acteurs malveillants peuvent également concevoir ces programmes pour télécharger et exécuter automatiquement des logiciels malveillants supplémentaires sur les appareils des victimes. Par conséquent, que vous utilisiez ou non cette fonctionnalité dans votre vie quotidienne, tout le monde y est exposé depuis des décennies, ce qui rend la décision de Microsoft cette semaine d’autant plus importante.
“Dans quelques années, nous considérerons cette annonce comme le plus grand changement apporté par Microsoft pour atténuer l’accès initial des acteurs de la menace”, déclare Jake Williams, intervenant en cas d’incident et ancien hacker de la NSA. “Vos acteurs de menace de niveau supérieur ou les groupes NSO du monde n’utilisent plus ce genre de choses de toute façon, mais cela aura certainement un impact sur les escrocs, les groupes de rançongiciels et d’autres criminels.”
Selon Brett Callow, analyste des menaces chez Emsisoft, au moins un quart des attaques de ransomwares contre des entreprises ou d’autres organisations commencent par des tentatives de phishing, qui font souvent miroiter un document malveillant contenant des macros entachées.
“Je suis très heureux de l’annonce de Microsoft”, déclare Callow. « Les cybercriminels, en revanche, seront loin d’être contents. Vraiment, le changement était attendu depuis longtemps.
“Nous travaillons toujours pour améliorer la sécurité”, a déclaré un porte-parole de Microsoft dans un communiqué. “Nos produits fournissent actuellement un avertissement à tous les clients qui les oblige à cliquer avant d’exécuter des macros à partir d’Internet. Cette nouvelle fonctionnalité va encore plus loin avec une étape supplémentaire pour protéger les clients dans les scénarios de tous les jours. » La société a refusé de dire précisément pourquoi elle avait franchi le pas maintenant et ne l’avait pas fait plus tôt.
La réponse implique probablement la tension entre les besoins des gros clients de Microsoft, dépendants des macros, et le désir de réprimer une fois pour toutes les attaques liées aux macros. Dans Windows 10 et 11, une fonctionnalité appelée Microsoft Defender Application Guard a rendu beaucoup plus difficile pour les attaquants d’obtenir un accès significatif à ce qui aurait été auparavant des attaques réussies liées aux macros. Mais Application Guard est principalement destiné aux appareils d’entreprise, et de nombreux ordinateurs Windows grand public ne le prennent toujours pas en charge. Et en général, le vaste univers des appareils Windows anciens et obsolètes continue de fonctionner sans défenses avancées.
