Comment bloquer automatiquement les macros dans les documents Microsoft Office à partir d’Internet

Avec Microsoft annulant temporairement une fonctionnalité qui bloque automatiquement les macros dans les fichiers Microsoft Office téléchargés depuis Internet, il est essentiel d’apprendre à configurer manuellement ce paramètre de sécurité. Cet article explique pourquoi les utilisateurs doivent bloquer les macros dans les téléchargements Internet et comment vous pouvez les bloquer dans Microsoft Office.

Une méthode de distribution courante utilisée par certains des logiciels malveillants les plus notoires, notamment Emotet, Dridex, Qbot et le voleur RedLine, consiste à envoyer des e-mails de phishing contenant des documents Word ou Excel malveillants avec des macros qui installent le logiciel malveillant sur les appareils de la cible.

Pour empêcher cette méthode de distribution, Microsoft a annoncé en février que Microsoft Office bloquerait automatiquement les macros VBA dans les documents téléchargés sur Internet à partir de juin.

Cette annonce a reçu un soutien retentissant de la part de nombreux administrateurs Windows, professionnels de la cybersécurité et utilisateurs finaux qui y ont vu un impact significatif sur la sécurité de Windows.

Cependant, peu de temps après la mise en ligne de la fonctionnalité en juin, Microsoft a soudainement et sans véritable explication annulé ce changement, laissant les utilisateurs de Windows et de Microsoft Office à nouveau exposés aux documents Office contenant des macros malveillantes.

Bien que la restauration ne soit que temporaire jusqu’à ce que les préoccupations des clients soient résolues, la bonne nouvelle est que vous pouvez activer manuellement cette fonctionnalité sur vos appareils à l’aide de stratégies de groupe.

Comprendre la marque du Web

Avant d’expliquer comment bloquer automatiquement les macros dans les fichiers Microsoft Office téléchargés depuis Internet, il est essentiel de comprendre une fonctionnalité de Windows appelée « Mark-of-the-Web ».

Le Mark-of-the-Web est un flux de données alternatif NTFS spécial ajouté aux fichiers téléchargés qui indique à Windows et aux applications de support, telles que Microsoft Office, que le fichier a été téléchargé à partir d’Internet et doit être considéré comme risqué à ouvrir.

Lorsqu’un fichier a une marque du Web et que vous essayez de l’ouvrir, Windows affiche des avertissements supplémentaires à l’utilisateur, lui demandant s’il est sûr de vouloir exécuter le fichier.

Microsoft Office recherchera également une marque du Web et, si elle est trouvée, ouvrira le document en mode protégé, avertissant que le document peut contenir des virus.

Cependant, si vous avez déjà géré des appareils Windows, vous saurez que ces avertissements sont généralement ignorés, ce qui entraîne l’infection d’un appareil et la compromission d’un réseau.

Blocage des macros dans les documents Internet

Depuis 2016, Microsoft dispose d’une stratégie de groupe Microsoft Office appelée « Bloquer les macros de l’exécution de fichiers Office à partir d’Internet », qui empêchera automatiquement l’exécution des macros sur les documents contenant une « Marque du Web ».

Bien qu’elle ne soit pas aussi jolie que la nouvelle fonctionnalité annulée par Microsoft, elle exécute la même fonctionnalité de blocage des macros sur tous les documents Office téléchargés.

Pour activer cette stratégie, vous pouvez télécharger et installer les stratégies de groupe Microsoft Office et configurer la stratégie « Bloquer les macros de l’exécution de fichiers Office à partir d’Internet » pour chaque application que vous souhaitez sécuriser.

Ces politiques se trouvent sous Paramétrage utilisateur > Modèles d’administration > [Office Application] > [Office Application] Choix > Sécurité > Centre de confiancecomme indiqué ci-dessous.

Pour bloquer automatiquement les macros dans les fichiers Microsoft Office téléchargés à partir d’Internet, accédez à la stratégie « Bloquer les macros de l’exécution de fichiers Office à partir d’Internet » pour l’application que vous souhaitez sécuriser et définissez la stratégie sur Activé.

Une fois cette stratégie activée, une nouvelle valeur de registre nommée ‘bloquer l’exécution du contenu à partir d’internet‘ sera défini sur ‘1‘ sous le HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\[office version]\[office application]\sécurité clé.

Par exemple, lors de la configuration de cette stratégie pour Microsoft Word, Windows créera la valeur de Registre suivante :

Lorsque cette stratégie est activée, lorsque vous tentez d’ouvrir un document Word contenant des macros téléchargées à partir d’Internet et que vous activez des macros, et que vous avez désactivé le mode protégé, un avertissement s’affiche indiquant : « Les macros de contenu bloqué dans ce document ont été désactivées par votre administrateur d’entreprise pour des raisons de sécurité. »

Si vous faites confiance à ce document et savez qu’il est sûr, vous pouvez supprimer la marque du Web en accédant aux propriétés du fichier, en cliquant sur le Débloquer dans la section de sécurité, puis appuyez sur le Appliquer bouton, comme illustré ci-dessous.

Une fois que vous avez débloqué le fichier ou supprimé sa marque du Web, les macros peuvent à nouveau être exécutées lorsque vous ouvrez ce document particulier.

Il convient de rappeler que vous ne devez supprimer la marque du Web que des documents dont vous savez qu’ils sont dignes de confiance à 100 %.

Avec cette stratégie, vous pouvez désormais obtenir le même niveau de protection que la fonction de restauration de Microsoft. De plus, si votre organisation rencontre un problème pour bloquer toutes les macros, il est possible de configurer des « emplacements de confiance » où les utilisateurs peuvent enregistrer des documents et ne pas bloquer les macros.

Microsoft fournit également diverses documentations sur la configuration de cette stratégie et la création d’emplacements approuvés, qu’il est recommandé de lire par tous les administrateurs Windows.