Face à de nombreux rapports en provenance de diverses instituts de sécurité, un service du Département de la Sécurité intérieure des États-Unis, l’US-CERT lance une alerte. Une résurgence de logiciels malveillants utilisant les macros des documents Office est constatée.
Macro Malware, c’est quoi ?
Une Macro n’est pas à l’origine un programme malveillant. Elle se montre en général utile. Elle permet d’automatiser différentes opérations au cœur de la suite bureautique Office de Microsoft. Des petits malins ont compris que ceci était un terrain de prédilection pour attacher aux fichiers Office des petits scripts capables de grandes prouesses en matière de piratage. Cette menace porte le nom de Macro Malware.
Il ne s’agit pas d’une nouveauté puisque le Macro Malware a eu une grande popularité dans les années 90. Ils ont permis la propagation de virus comme par exemple Melissa. Cette technique est appréciée des pirates par la nature même de la Macro qui doit être exécutée pour fonctionner.
A l’époque, Microsoft n’est pas resté insensible à cette situation préoccupante. Des rectifications ont été apportées avec Office 97 comme l’apparition d’un popup (afin d’avertir des dangers) et des options pour ne pas permettre l’exécution automatique d’une Macro à l’ouverture d’un fichier Office.
Tout ceci a réussi à donner un coup de frein à la popularité de ces Macro Malware. Dans les années 2000, ils ont perdu de leur intérêt et ont quasiment disparu des menaces.
Prolifération des Macro Malware
Malheureusement, Microsoft a fait une erreur. L’entreprise a pris la décision à partir d’Office 2010 de supprimer le menu contextuel informatif avant l’ouverture du fichier office contenant une ou des macros. Il a été transformé en une barre de notification, à l’intérieur de l’application une fois l’ouverture faite.
Microsoft a toujours bloqué l’exécution automatique de Macros à l’ouverture d’un document mais la barre de notification avait l’avantage d’être très explicite avec des avertissements de sécurité et des informations nécessaires pour comprendre les risques autour de macros issues d’une source inconnue (un fichier Office dont l’origine est incertaine par exemple).
L’avertissement dans Office 97 stipulait par exemple “Certaines macros peuvent contenir des virus qui peuvent nuire à votre ordinateur“.
Microsoft n’a donné aucune raison autour de son choix de changer les choses.
Dans Office 2010 ou 2013, il y a même un bouton au côté de l’avertissement permettant d’activer le contenu, soit d’exécuter les macros présentes.
Dans ce nouveau contexte, en place depuis quelques années, il est rapporté que nous assistons à une renaissance des Macro Malware au point qu’une alerte est lancée par l’US-CERT. Il est souligné
« Nous sommes ici aujourd’hui, dans le deuxième âge des macro malware, deux décennies après avoir été presque éradiqués ».
Le centre Australien de Cyber Sécurité propose dans ce document des recommandations pour faire face à ce type de menace.
Ils n’auraient pas tout simplement isolé l’exécution des macro dans un milieu virtuel ? La macro ne peut plus “détruire” l’environnement de travail de cette manière.