Pour nous qui passons nos journées à écrire sur le secteur de la sécurité, des phrases telles que « les attaques en ligne deviennent de plus en plus sophistiquées » ou « des logiciels malveillants toujours plus perfectionnés » relèvent du lieu commun.
Mais sur la dernière année, nous avons assisté au surprenant retour d’un type de malware issu d’un autre âge, qui utilise une technique plus qu’ancienne, mais qui n’en provoque pas moins des dégâts conséquents. Remontons dans le temps.
Aujourd’hui, nous allons parler des macros malware. C’est quelque chose qui n’était plus qu’anecdotique depuis le début des années 2000. Et voici qu’elles repointent maintenant le bout de leur nez.
Qu’est-ce qu’un macro-malware ?
Un macro malware exploite les fonctions de macro des documents Office pour exécuter des commandes. Les macros ne sont que de simples raccourcis que l’utilisateur peut créer pour ne pas avoir à répéter certaines tâches.
Par exemple, imaginons que vous ayez créé un document Word et que vous vous retrouviez à éditer systématiquement certains passages en rouge avec un surlignage jaune, en taille 16, italique et aligné à droite. Pour ne pas perdre de temps, vous pouvez créer une macro récapitulant ces commandes. La prochaine fois que vous devrez appliquer ce style, il vous suffit de la lancer.
Un peu d’histoire
Les macro-malware étaient relativement répandues dans les années 90 et au début des années 2000. Le premier du genre, Concept, a été découvert en 1995 bien qu’il soit à vrai dire sans danger, se contentant d’afficher une boîte de dialogue. En 1999, en revanche, c’est l’une des macro malware les plus célèbres qui a fait son apparition : Melissa. Melissa s’envoyait elle-même par e-mail à 50 destinataires du carnet d’adresses de l’utilisateur, se propageant ainsi sur 20 % des ordinateurs de la planète.
Mais les macros malveillantes n’ont pas fait long feu. Lorsque Microsoft a lancé Word 2003, les réglages de sécurité par défaut ont été changés pour empêcher les macros de s’exécuter automatiquement à l’ouverture d’un document. Il est ainsi devenu beaucoup plus difficile d’infecter un ordinateur par l’intermédiaire des macros, et les pirates ont pour la plupart délaissé cette méthode pour d’autres.
Alors, que s’est-il passé ? Pourquoi sont-elles de retour ?
Selon Sean Sullivan, Security Advisor du Laboratoire F-Secure, cette résurgence pourrait être le contrecoup du déclin des vulnérabilités exploitables dû aux améliorations en matière de sécurité des applications courantes actuelles, telles que Microsoft Office. Au cours des dernières années, les exploits se sont avérés être l’un des moyens les plus courants pour infecter une machine. Mais avec de moins en moins de failles logicielles à exploiter, les créateurs de malware semblent ressortir leurs vieilles techniques du placard.
Comment ça marche
Les macro malware d’aujourd’hui tentent de contourner les réglages par défaut de Microsoft grâce à une astuce toute simple. Lorsqu’un document s’ouvre, les informations qu’il contient ne s’affichent pas correctement… Par exemple, vous allez vous retrouver avec un charabia incompréhensible. Une phrase dans le document va indiquer qu’il faut activer une macro ou un contenu pour accéder à l’affichage complet.
En voici un exemple :
Curiosité ? Pure inconscience ? Quelle qu’en soit la raison, comme l’explique Sean, la réapparition du malware n’a été possible que « parce qu’on clique ».
Une fois les macros activées, le code malicieux s’exécute et télécharge les données virales.
Les macros malveillantes sont utilisées par les familles de crypto-ransomware telles que Cryptowall ou le tout récent Locky. Elles cryptent les données d’un ordinateur puis exigent une rançon en échange de leur déchiffrage. Bien que nous n’en soyons pas certains, il est possible que la responsable de la prise en otage de l’hôpital d’Hollywood le mois dernier soit une macro malveillante.
Le cheval de Troie bancaire Dridex, qui permet aux pirates de s’emparer des données bancaires et autres informations personnelles sur les machines infectées, utilise également cette technique.
Comment l’éviter
Heureusement, si vous utilisez les solutions de sécurité de F-Secure, vous êtes protégé contre ces menaces. Mais ceci mis à part, ce vieux mot d’ordre tient toujours : méfiez-vous des pièces jointes envoyées par des correspondants que vous ne connaissez pas. Et assurez-vous de ne pas activer les macros sur des documents envoyés par des sources dont vous n’êtes pas sûr à 100 %.
Catégories