Limiter les risques d'expositions aux macros malveillantes

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Limiter les risques d'expositions aux macros malveillantes

Message par ѠOOT » 05 mai 2015 16:41

Bonjour,

Semaine dernière, nouveau billet sur le blog de Microsoft Malware Protection Center : Social engineering tricks open the door to macro-malware attacks. La conclusion revient sur les conseils habituels. Durant plusieurs années, j'ai eu l'occasion de discuter avec des groupes d'utilisateurs et s'il y a bien une chose qui en ressort c'est qu'avant même d'avoir conscience des "dangers", ils ignorent tout ou presque des options de sécurité d'Office. Par exemple dans les TPE/PME, le niveau de sécurité est généralement abaissé à "moyen" faute d'avoir compris l'intérêt des autres ; les employés sont donc confrontés à un choix difficile "Activer" ou "Désactiver" avec une petite prière adressée à l'antivirus "Ô toi l'AV, ne fait pas le navet, faites qu'on s'en sorte..." Bref, si vos nerfs ne supportent plus la roulette russe, cette page est pour vous. Si vous avez des questions sur mon charabia, n'hésitez pas car avec l'expérience je sais qu'avec toutes les versions Office, il faut s'attendre à tout.

Ci-dessous, j'explique comment vérouiller les réglages et ceux des autres utilisateurs pour lutter efficacement contre la majorité des techniques d'ingénierie sociale connues puis j'explique comment utiliser le niveau "élevé" en signant électroniquement les documents légitimes et enfin j'explique à ceux qui n'utilisent jamais de macros, une méthode radicale pour éliminer définitivement les risques associés aux documents Excel, Word, PowerPoint,..

Par défaut, le niveau de sécurité des macros est élevé, une barrière efficace pour
ce type de menaces. Cette mesure sécuritaire est à l'origine de la prolifération de
techniques visant à persuader l'utilisateur d'abaisser ce niveau de sécurité. Aussi
surprenant que ça puisse paraitre, ça fonctionne et même très bien puisque Microsoft
à dénombré depuis 2014, 1 demi-million de machines ayant été infectées via ce vecteur.

Il existe 4 niveaux de sécurité.

Image

Vous pouvez retrouver ces réglages directement stockés dans le Registre Windows.
Les niveaux de sécurité correspondent aux clés "Level" de chaque application.
Les valeurs possibles [ 1 = faible | 2 = moyen | 3 = élevé | 4 = très élevé ]


⚫ Renforcer la sécurité : configurez le niveau adéquate et figez vos paramétrages.

Pour lutter contre les techniques d'ingénierie sociale, imposez vos réglages.
Utilisez simplement les autorisations pour ne conserver qu'un droit de lecture.

Image

Si l'utilisateur coche niveau de sécurité "Faible", ça n'aura aucune incidence.
N'ayant pas l'autorisation d'écrire, le niveau (level) restera figé à élevé (3)

Les emplacements varient suivant l'architecture et les versions d'Office,
Ci-dessous un exemple avec Microsoft Office 2003 sur une station 32 bits.

[HKLM\Software\Microsoft\Office\11.0\Word\Security]
"DontTrustInstalledFiles"=dword:00000001
"Level"=dword:00000003

[HKLM\Software\Microsoft\Office\11.0\Excel\Security]
"DontTrustInstalledFiles"=dword:00000001
"Level"=dword:00000003

[HKLM\Software\Microsoft\Office\11.0\PowerPoint\Security]
"DontTrustInstalledFiles"=dword:00000001
"Level"=dword:00000003

Si vous appliquez des restrictions, prenez bien le temps de parcourir
l'arborescence, n'importez pas à l'aveugle ces paramètres : testez.

Le niveau élevé empêchera les macros "inconnues" mais permet d'une part
de consulter le document et d'autre part de consulter les macros. Enfin,
le document s'avère "bon", vous pourrez le déclarer comme étant légitime.


⚫ Signer électroniquement ses documents et ceux qui s'avèrent légitimes.

Le niveau élevé est pour un usage personnel, il nécessite l'emploi d'une ou de
plusieurs signature(s) électronique(s). Le niveau très élevé s'adresse plutôt
aux professionnels ayant de gros besoins car ça nécessite un certificat de code
de signature authentifié, lequel est payant. En usage personnel, l'authentification
de l'éditeur peut-être usurpée, elle n'est donc pas garantie mais offre un confort.

Au départ, générez un certificat numérique auto-signé avec l'utilitaire SelfCert

Image

Lorsque vous aurez à créer de nouveaux documents qui contiennent des macros, dans
mon exemple un document Excel nommé "Graal.xls", appuyez sur le raccourci clavier
ALT+F11 puis aller dans le menu "Outils" → "Signature électronique"

Image

De là, sélectionnez ensuite votre certificat auto-signé.

Image

Enregistrez et ré-ouvrez ce même document, à l'écran:

Image

Vérifiez qu'il s'agit de votre certificat auto-signé,
Cochez "Toujours faire confiance..." à cet éditeur,
Et enfin cliquer sur "Activer les macros".

Désormais, seules les macros auto-signées de cet éditeur, donc les vôtres, seront
autorisées. Les autres documents ayant des macros seront refusés mais s'ils s'avèrent
légitimes, faites la même manipulation pour apposer votre signature électronique.
Les exécutions macros sont ainsi encadrées. Évitez les vols de certificats, hein ;)

Autre avantage, non négligeable, c'est que si l'intégrité des macros de vos
documents est violée, vous aurez immédiatement une alerte de sécurité.

Image

Si desfois vous avez besoins de manipuler (ex: exporter) un certificat,
Aller dans le menu "Démarrer" → "Exécuter" → saisir "certmgr.msc"
Afficher le magasin de certificats Personnels de l'utilisateur.


⚫ Dire adieu aux macros ainsi qu'aux fonctionnalités de programmation.

Si vous êtes certains de ne JAMAIS utiliser de macros-commandes sur les produits
Office donc Excel, Word, PowerPoint, Publisher, Outlook, FrontPage alors,
neutralisez-les. Depuis un compte Administrateur, menu "Démarrer" → "Exécuter"
saisir regedit.exe puis OK.

Image

Par défaut, VbaOff n'existe pas il faut donc le créer sous l'Éditeur de registre
à l'aide du menu "Édition" → "Nouveau" → "Valeur DWORD".

Si une macro est présente dans un fichier, elle ne sera JAMAIS exécutée et un
message s'affichera. Par exemple pour les documents Word vous aurez à l'écran
quelque chose comme "La prise en charge du langage Macro a été désactivée
pour cette application.
" et pour Excel quelque chose comme "Ce classeur
a perdu son projet VBA, ses contrôles ActiveX,...
".


Voilà, j'espère que vous avez appris quelques trucs qui peuvent vous aider.
En fonction de vos usages, d'autres contre-mesures existent, renseignez-vous.
Dernière chose, n'attendez pas l'incident de trop pour y réfléchir sérieusement.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité