85 % de toutes les entreprises allemandes utilisent Microsoft Office comme logiciel de bureau de prédilection. De nombreux documents sont également créés, édités et partagés en privé avec Word & Co. Mais les cybercriminels aiment aussi utiliser les programmes Office – pour propager des logiciels malveillants. Nous allons vous expliquer comment vous pouvez mieux vous protéger contre cela.

Comment les cybercriminels peuvent abuser des documents Office

Les documents de bureau sont des passerelles populaires pour les cybercriminels. Non seulement à cause de l’utilisation généralisée des programmes Microsoft, mais aussi parce que le contenu actif peut être intégré dans les documents Office. Ce contenu actif est finalement constitué de petits programmes. Et les cybercriminels peuvent les utiliser à leurs propres fins. Par exemple, un tel programme peut garantir que des malwares sont téléchargés depuis Internet. Certaines entreprises et institutions prennent des mesures de protection drastiques contre de telles opportunités d’attaque. Par exemple, ils suppriment automatiquement tous les e-mails contenant des documents Office joints et ouverts. Ou tous les e-mails dont les documents Office joints contiennent du contenu actif. Les documents PDF, en revanche, sont généralement acceptés en pièces jointes.

Les mesures de protection recommandées ci-dessous ne vont pas aussi loin. Par conséquent, vous êtes toujours en demande. Votre œil, votre attention, ou même simplement votre intuition que quelque chose ne va pas avec un document ou une pièce jointe peut prévenir des dommages majeurs. Alors restez vigilant.

Important : Dans les entreprises, des directives claires pour la gestion des documents Office sont indispensables. Cela est particulièrement vrai pour les documents provenant de sources externes, tels que les demandes et les factures. Les experts de Perseus seront ravis de vous conseiller.

Mesure 1 : Méfier tous les documents de l’Office qui n’ont pas été spécifiquement annoncés

Quel est le cas idéal si vous recevez un malware sous forme de document Office ? Ils reconnaissent le document comme suspect et ne l’ouvrent pas. Vous avez déjà stoppé l’attaque possible dans l’œuf – bravo !
Par conséquent, traitez tous les documents Office que vous recevez de manière critique. En particulier, des factures surprenantes, des rappels ou des confirmations de commande reçues par e-mail.

Mesure 2 : N’ouvrir pas de documents ayant des droits d’administrateur

Quels sont les droits d’administrateur ?

Les ordinateurs doivent être gérés, configurés et mis à jour. Cela nécessite des interventions profondes dans le système. Quiconque assume cette tâche est considéré comme un administrateur – et doit avoir des droits d’accès illimités à tous les systèmes de l’ordinateur. Ces droits d’accès illimités sont donc aussi appelés droits d’administrateur.

Qu’est-ce qui pose problème dans les droits des administrateurs ?

Parce que les privilèges administrateur permettent un accès illimité à un ordinateur, leurs abus peuvent causer d’énormes dégâts. Il est suffisant qu’un programme malveillant soit exécuté avec des droits d’administrateur. Parce qu’il peut alors effectuer tous les changements que vous souhaitez sur votre ordinateur.

Que faire ?

• En principe, ne travaillez pas avec des droits d’administrateur, mais sur un compte utilisateur avec des droits d’accès délibérément limités.
• Assurez-vous que les comptes ont des mots de passe différents pour éviter toute confusion. Voici comment créer un compte utilisateur sur PC sous Windows et Mac.
• N’ouvrez pas les documents Office (ni autres fichiers) avec des privilèges administrateur.
  Si vous recevez un message lors de l’ouverture d’un document Office indiquant que des droits d’administrateur sont requis, annulez immédiatement le processus. N’ouvrez jamais le document en aucune circonstance.

Mesure 3 : Désactiver les macros

Qu’est-ce que les macros ?

Le terme macro vient de la programmation logicielle. Là, les macros sont de petites sous-programmes souvent utilisées comme des blocs de construction. Ils contiennent généralement le code de programme des processus en plusieurs étapes – qui n’ont alors plus besoin d’être programmés manuellement étape par étape.
Parce que ce principe est très pratique, Microsoft l’a rendu utilisable dans les programmes Office même pour des utilisateurs sans connaissances en programmation. Ici, les processus en plusieurs étapes peuvent être facilement enregistrés, sauvegardés en macro puis répétés aussi souvent que souhaité. Par exemple, si la date respective doit être affichée à plusieurs endroits dans un document. La macro correspondante le met automatiquement à jour lorsque vous ouvrez ou sauvegardez le document.

Pourquoi les macros sont-elles problématiques ?

Les macros sont de petits programmes inclus dans un document Office et s’exécutent automatiquement. Dans la vie quotidienne de bureau, cela est utile si le macro remplit une fonction souhaitée – comme la mise à jour de la date mentionnée ci-dessus.

Cela devient problématique lorsqu’une macro a été programmée par des cybercriminels. Parce que dans ce cas, votre programme sera exécuté automatiquement. Ce qu’elle fait dépend des objectifs des cybercriminels. Peut-être que cela ouvre simplement d’innombrables nouveaux documents. Ou bien il télécharge des malwares d’Internet qui chiffrent votre ordinateur. Pratiquement tout ce qui peut être programmé est possible.

Que faire ?

En général, vous n’avez rien à faire, car les macros sont désactivées par défaut dans les programmes Office. Cela s’applique aussi bien aux PC qu’aux Macs. Nous vous conseillons : jouez la sécurité et vérifiez que les macros sont désactivées pour vous.
Vous pouvez y trouver les instructions de Microsoft pour désactiver et activer les macros pour PC et Mac.

Mesure 4 : Ne pas non plus activer les macros manuellement

Comme je l’ai dit, les macros sont désactivées par défaut dans les programmes Office actuels. Mais souvent, ils peuvent être activés manuellement. Nous vous conseillons : ne faites pas cela ! Et si on vous le demande ? Alors assurez-vous de consulter.
Les cybercriminels peuvent être très sophistiqués dans leurs efforts pour vous inciter à activer des macros. Par exemple, le cheval de Troie Emotet, qui est redouté depuis des années, a envoyé des e-mails d’apparence extrêmement authentique, dont la plupart contenaient une pièce jointe Office. Le corps de l’email demandait explicitement d’activer les macros dans le document joint. Ce n’est qu’alors que le code malveillant caché dans les documents pouvait devenir actif. Même si l’infrastructure d’Emotet a été démantelée début 2021, cette tactique d’attaque peut encore être utilisée. C’est pourquoi nous recommandons la plus grande prudence.

Mesure 5 : Ne pas non plus activer OLE manuellement

Qu’est-ce que l’OLE ?

Chez Microsoft, OLE signifie Object Linking and Embedding, c’est-à-dire pour lier ou intégrer des objets. Ces objets peuvent inclure des graphiques, des vidéos et des tableaux. Par exemple, si un document Word est lié à un tableau, il peut être modifié dans Excel. En revanche, si ce tableau est intégré dans Word, il peut être édité directement dans Word. Pour que les objets intégrés soient utilisables, un code de programme correspondant doit être intégré au document. Pour les cybercriminels, cela signifie un moyen d’intégrer du code malveillant.

Quel est le danger ?

Les objets OLE manipulés par des cybercriminels doivent généralement être cliqués pour devenir actifs. Divers tours sont utilisés à cet effet. Par exemple, l’objet peut ressembler à un champ dans lequel il est censé entrer un code de sécurité. Ou bien l’email accompagnant vous demandera de prendre les mesures appropriées.

Que faire ?

N’activez pas les objets intégrés. Si l’on vous demande, n’hésitez pas à nous consulter.

Action 6 : Ouvrir des documents dans des bacs à sable

Qu’est-ce qu’un bac à sable ?

Le terme anglais « sandbox » se traduit par bac à sable. En informatique, le bac à sable désigne une zone séparée et isolée au sein d’un système. Les actions ou programmes qui s’exécutent dans ce bac à sable sont limités à ce bac à sable et n’affectent pas le système dans son ensemble. Si le bac à sable est fermé, tout son contenu sera supprimé.

Où puis-je trouver un tel bac à sable ?

Les bacs à sable sont déjà disponibles dans certains systèmes d’exploitation. Sur Mac, la plupart des programmes tournent même dans leur propre bac à sable, même les programmes Office plus récents.
Les bacs à sable sont également inclus dans Windows 10 Enterprise, Windows 10 Professional ou Windows 10 Education versions 1809 ou ultérieures. Malheureusement, ils sont désactivés par défaut. Vous pouvez par exemple découvrir comment l’activer chez Microsoft.
Si votre système d’exploitation n’a pas de bac à sable intégré, vous pouvez installer un programme séparé pour cela. De nombreux antivirus disposent également d’un bac à sable.

Puisqu’aucune protection n’est à 100 %

Aucune technologie n’est infaillible, et cela s’applique aussi aux bacs à sable. Nous vous recommandons donc de les utiliser prudemment et de toujours prendre toutes les mesures mentionnées ci-dessus.

Étape 7 : En cas de doute, demandez aux professionnels

Êtes-vous membre de Perseus, vous vous méfiez d’un document Office et ne voulez-vous prendre aucun risque ? Ensuite, il suffit de nous envoyer le document et nous le vérifierons pour vous.

Pas encore membre de Perseus ? Alors contactez le service informatique de votre entreprise… et suggérer également qu’une procédure soit définie pour traiter les documents Office. Surtout pour toutes les personnes qui entrent en contact avec des documents potentiellement critiques tels que des demandes ou des factures supposées.