Le site SecurityFocus a récemment révélé deux failles de sécurité liées à l’utilisation de macros avec Microsoft Word 2000. La première concerne les fichiers RTF (Rich Text Format). En cherchant à « améliorer » le format standard d’origine, Microsoft aurait introduit un bogue qui permet d’exécuter une macro à l’insu de l’utilisateur. Normalement, à moins de désactiver l’option, Word avertit l’utilisateur qui s’apprête à ouvrir un fichier contenant une macro en lui proposant de l’accepter ou de la supprimer. Or, l’amélioration apportée par Microsoft permet d’attacher un modèle (template en anglais) au fichier RTF original. Template qui peut lui même contenir une macro. Laquelle n’est en revanche pas soumise aux barrières antimacro. Autrement dit, lorsqu’un utilisateur ouvre un fichier RTF, il peut, sans en être averti, déclencher une macro qui, selon son objectif, peut occasionner nombre de dégâts. Un problème d’autant plus grave que des fichiers RTF sont souvent transmis par e-mail sans qu’on puisse soupçonner leur danger potentiel.
Des macros dans les fichiers de récupération automatique
Si la deuxième faille ne peut être que locale (pas d’exploitation directement possible par réseau), elle reprend le principe de la macro activée à l’insu de l’utilisateur. Cette fois, ce sont les fichiers ASD qui sont en cause. Ces fichiers, aussi appelés AutoRecover, servent à récupérer automatiquement à l’ouverture de Word un document qui n’a pas été sauvegardé au moment d’une interruption inopinée du système. Si ces fichiers sont donc bien utiles (même si cela ne fonctionne pas toujours…), ils ne sont malheureusement pas fiables dans la mesure où, là aussi, l’ouverture de l’un deux peut déclencher une macro sans en avertir l’utilisateur. Sauf spécification de l’utilisateur, ces fichiers sont placés dans un répertoire par défaut du système (généralement C:TEMP). Si un pirate parvient à placer « son » fichier ASD dans ce répertoire (où celui qui aura été spécifié), il peut ainsi déclencher sa macro et infecter le système à l’insu de l’utilisateur puisque Word ouvre automatiquement tous les fichiers ASD qu’il rencontre. Si Microsoft ne propose pas de réelle solution (si ce n’est de passer à Word 2002, un des composants d’Office XP), il propose une page de conseils pour éviter ce type d’infections.
Pour en savoir plus :
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…