Que sont les virus de macro ?
Vous connaissez les virus informatiques, mais qu’en est-il des virus de macro ? Non, les virus de macro ne sont pas des virus plus gros. Un virus de macro porte ce nom car il est écrit dans le même langage de macro que l'application qu'il infecte. Et comme vous l’avez peut-être deviné, les applications les plus vulnérables aux virus de macro sont Microsoft Excel et Microsoft Word. Et comme les virus de macro ciblent les applications plutôt que l’appareil sur lequel elles s’exécutent, ils peuvent infecter n’importe quel système d’exploitation, pas seulement Windows.
Cet article examine le fonctionnement des virus de macro et fournit des exemples concrets. Nous verrons ensuite ce que vous pouvez faire pour éviter les virus de macro et comment les supprimer.
Comment fonctionnent les virus de macro
Les virus de macro se propagent généralement en étant intégrés dans des documents et des feuilles de calcul (généralement des feuilles de calcul Excel et des documents Word). Les virus de macro sont écrits dans un langage de macro pris en charge par les applications qu'ils infectent. Un langage macro est un langage de programmation simple qui permet à un utilisateur d'écrire et d'exécuter des tâches automatisées en séquence. C'est ce qu'on appelle une macro.
Habituellement, une macro est écrite pour faciliter la vie de l'utilisateur en exécutant rapidement des tâches (généralement) redondantes, comme insérer un tableau particulier dans tous les documents créés à partir d'un modèle spécifique et se connecter à une base de données pour valider les valeurs du tableau. Et il suffit d’appuyer sur quelques touches pour déclencher la macro. Mais une macro malveillante ne vous facilitera pas la vie, bien au contraire. Une macro malveillante peut effectuer n’importe quelle action prise en charge par le langage de macro dans lequel elle a été écrite. Cela signifie des choses comme créer de nouveaux fichiers, déplacer du texte, envoyer des fichiers, insérer des images ou des vidéos, ou des choses plus destructrices comme formater le disque dur ou corrompre vos données. Une macro malveillante pourrait même contacter un serveur distant et déclencher le téléchargement et l'installation de logiciels malveillants.
Étant donné que les virus de macro sont intégrés dans les documents et les feuilles de calcul, leurs attaques dépendent généralement de l'ingénierie sociale. Les acteurs malveillants envoient des e-mails ou des SMS à des victimes potentielles, y compris le document ou la feuille de calcul infecté sous forme de pièce jointe ou une URL renvoyant vers le fichier infecté. Si l’utilisateur ouvre le fichier, il est dangereusement proche d’une infection par un virus de macro.
Je dis « dangereusement proche » car désormais, Microsoft Word et Excel ont des macros désactivées par défaut. Cela n’a pas toujours été le cas. Microsoft a choisi de désactiver les macros par défaut en réaction à la prolifération des virus de macro. Désormais, si un utilisateur ouvre un fichier infecté, il verra une invite lui demandant s'il souhaite activer les macros. Cliquer sur oui déclenche la macro et le plaisir commence…
Les virus de macro ont tendance à se propager facilement parce que nous sommes très habitués à ouvrir des documents à distance et que la plupart des utilisateurs s’attendent à ce que les macros soient présentes dans les feuilles de calcul – du moins dans un environnement de travail. Et supposons qu’un fichier infecté se retrouve sur un lecteur réseau partagé au sein du réseau de votre organisation. Dans ce cas, les dégâts causés par le microvirus intégré dans le document partagé pourraient être énormes.
En outre, les virus de macro peuvent être configurés pour s’exécuter à la fois automatiquement et silencieusement, ce qui rend difficile même de se rendre compte que vous avez été infecté. Et, comme mentionné ci-dessus, les virus de macro sont indépendants du système d’exploitation, ce qui signifie qu’ils peuvent infecter n’importe quel système d’exploitation pouvant héberger des applications vulnérables. C'est plutôt méchant.
Exemples de virus de macro
Le virus conceptuel
Le Virus conceptuel est probablement le virus macro le plus « célèbre ». Il est apparu pour la première fois en 1995 et a été spécialement conçu pour infecter les documents Microsoft Word. C’était également la première fois que nous observions qu’un virus se propageait à l’état sauvage en s’attachant à un document plutôt qu’à une application.
Les origines du virus Concept ne sont pas claires. Mais beaucoup pensent qu'un employé de Microsoft l'a peut-être créé parce qu'il était fourni avec les CD d'installation de Microsoft Office (rappelez-vous, nous sommes en 1995). Toute personne ayant installé Microsoft Office à partir de ces CD d'installation infectés serait infectée par le virus Concept.
Le virus Concept avait le potentiel de causer des dégâts considérables, car il infecterait tout document enregistré à l’aide de la fonctionnalité « Enregistrer sous » de Windows. Le virus Concept a également réussi à infecter les modèles de documents fournis avec les applications, infectant ainsi tout nouveau document créé dans l'application. Heureusement, le virus n'a pas fait grand-chose, et beaucoup pensent qu'il s'agissait plus d'une « preuve de concept » qu'autre chose – donnant du crédit à l'idée qu'il provenait d'un employé de Microsoft, ainsi qu'une raison pour son nom. Pourtant, il était très difficile de s’en débarrasser une fois infecté.
Le virus Mélissa
Quatre ans après le virus Concept, en 1999, le monde a découvert Macrovirus de la mélisse . Comme le virus Concept, le virus Melissa pourrait infecter les modèles de documents, infectant ainsi tous les documents ultérieurs créés dans l'application. Mais au-delà de cela, le virus Melissa a été programmé pour envoyer automatiquement le document infecté ouvert aux 50 premiers contacts du carnet d’adresses e-mail de la victime sans méfiance. Inutile de dire que ce virus se propage plus rapidement qu’une traînée de poudre.
Virus W97M/Marqueur
En 2007, un autre virus de macro Microsoft Word a été découvert. W97M/Marqueur infecterait les modèles et documents Word et désactiverait les avertissements de contenu de macro et la protection antivirus dans Microsoft Word. Une fois installé, le virus serait déclenché à chaque fois qu'un document Word infecté était fermé. Les fichiers infectés contiendraient la chaîne «<- this is a marker!”, which served as an infection marker for the virus and is also what gave it its name. This macro virus has multiple versions, but all of the different versions work in the same basic way.
Virus de macro macOS
En 2017, des experts en sécurité ont découvert le premier Virus de macro macOS . Mais heureusement, il a été stoppé avant qu’il ne puisse causer des dégâts importants. La macro a été incluse dans un document Word transmis aux utilisateurs macOS sans méfiance par phishing. L'ouverture du document Word compromis inciterait la macro à contacter un serveur distant et déclencherait le téléchargement et l'installation de logiciels malveillants. Au moment où le virus a été découvert dans la nature, le serveur distant avait déjà été désactivé, de sorte que les chercheurs en sécurité n'ont pas pu déterminer quel était le malware exact. Cependant, nous savons que le code de la macro est dérivé d’un kit d’exploitation de logiciel espion. Il y a donc de fortes chances que le but de l’attaque soit le vol de données.
Symptômes des infections par macrovirus
Les symptômes provoqués par une infection par un macrovirus ne diffèrent pas vraiment de ceux d’autres virus informatiques. Mais certains effets secondaires peuvent signaler un macrovirus. Il ne s’agit donc pas d’une science exacte, mais méfiez-vous des points suivants :
- Votre ordinateur fonctionne sensiblement plus lentement que d’habitude (un symptôme courant pour tout virus, mais quand même…)
- Certains fichiers vous demandent un mot de passe pour les ouvrir alors qu'ils ne sont pas réellement protégés par mot de passe
- Votre ordinateur enregistre les documents sous forme de modèles
- Des messages d'erreur inhabituels apparaissent sur votre écran
Alors faites attention à ce qui précède. Mais faites particulièrement attention à Microsoft Word ou Excel qui vous invite à activer les macros lors de l'ouverture d'un fichier. Bien que les macros soient désactivées par défaut, vous serez invité à les activer si vous ouvrez un fichier contenant des macros. Demandez-vous si le fichier que vous ouvrez doit contenir ou non des macros. S’il ne doit pas en contenir, alors, bien sûr, ne les activez pas.
Comment supprimer les virus de macros dans Microsoft Windows
Vous pouvez utiliser un programme antivirus pour rechercher et supprimer les virus de macro. Si votre application antivirus a mis à jour les signatures de virus, elle devrait détecter les virus de macro les plus connus. Mais vous pouvez également supprimer les virus de macro manuellement. Pour savoir comment procéder, suivez les étapes ci-dessous.
- Lancez Microsoft Word dansMode sans échec. Le mode sans échec garantit qu'aucune macro ne s'exécutera, même si elles étaient précédemment activées. Pour ce faire, maintenez lecontrôle gauche clélorsque vous cliquez sur l'icône de l'application. Une invite apparaîtra vous demandant si vous souhaitez lancer Word en mode sans échec. SélectionnerOui.
- Clique leVoiren haut, puis cliquez sur le boutonMacrobouton.
- La fenêtre Macros s'affiche. Cliquer surOrganisateur.
- Sélectionnez la macro infectée et cliquez surSupprimer.
- Fermez Microsoft Word et redémarrez-le normalement.
Vous pouvez également prendre quelques mesures simples pour vous assurer que toutes vos applications Microsoft Office sont exemptes de logiciels malveillants. Dans le menu Démarrer, localisez Microsoft Office dans votre liste de programmes. Faites un clic droit dessus et sélectionnez Réparer. Cela supprimera tous les virus de macro que vous pourriez avoir dans vos applications Microsoft Office.
Se défendre contre les virus de macro
Les défenses appropriées contre les virus de macro diffèrent selon les organisations et les utilisateurs. Bien entendu, les organisations doivent s’assurer que leurs employés suivent les conseils de sécurité destinés aux particuliers. Ces mesures fonctionnent en tandem.
Pour les organisations
Éduquez votre organisation sur les risques des virus de macro
L’une des meilleures défenses contre les menaces en ligne est la vigilance et la pleine conscience. Assurez-vous de fournir à votre personnel une formation adéquate sur les différentes menaces auxquelles ils peuvent être confrontés et les mesures d'atténuation pertinentes. Cela réduira les risques que votre organisation soit victime d’une attaque de macrovirus.
Mettre en œuvre la signature de code numérique
Microsoft Office dispose de contrôles intégrés que vous pouvez définir via des stratégies de groupe pour atténuer l'utilisation de macros malveillantes. Plus précisément, la signature de code numérique est conçue pour bloquer toutes les macros non signées par une entité de confiance. Cela devrait s’appliquer à l’ensemble de l’organisation.
Utiliser une interface d'analyse antimalware (AMSI)
Les applications antivirus et autres solutions de sécurité peuvent utiliser AMSI pour analyser les macros et autres scripts au moment de l'exécution afin de vérifier leur validation. AMSI permet à presque toutes les solutions de sécurité d'avoir une plus grande visibilité sur les activités potentiellement malveillantes et peut alerter le service informatique de toute activité à haut risque détectée sur le réseau. Bien qu'il s'agisse d'une étape utile pour sécuriser votre infrastructure contre les virus de macro, sachez que les attaquants exploitent déjà le code de contournement AMSI accessible au public pour tenter de contourner son utilisation.
Pour les particuliers
- N'ouvrez pas les pièces jointes dans les e-mails sans identifier l'expéditeur et confirmer avec lui qu'il vous a envoyé l'e-mail avec la pièce jointe.
- Ne cliquez pas sur les liens (URL) dans les e-mails sauf si vous êtes sûr de savoir qui a envoyé l'URL et sa destination et qu'il ne s'agit pas d'une usurpation d'identité. Et même alors, scrutez le lien. Est-ce un lien HTTP ou HTTPS ? La plupart des sites légitimes utilisent aujourd'hui HTTPS. Et bien sûr, vérifiez le lien pour les fautes d'orthographe (faceboook au lieu de facebook ou goggle au lieu de google) ? Si vous pouvez arriver à destination sans utiliser le lien, faites-le à la place.
- Utilisez un programme antivirus . Et n’achetez que des logiciels antivirus authentiques et bien évalués auprès de fournisseurs légitimes. Gardez votre antivirus à jour et effectuez régulièrement des analyses fréquentes.
- Gardez votre système d'exploitation à jour . Les dernières mises à jour du système d'exploitation contiennent les derniers correctifs de sécurité. Vous voulez ça.
- Utiliser un pare-feu - Tous les principaux systèmes d'exploitation ont un système entrant intégré pare-feu , et tous les routeurs commerciaux du marché fournissent un Pare-feu NAT . Assurez-vous qu'ils sont activés. Ils pourraient vous protéger si vous cliquez sur un lien malveillant.
- Ne cliquez jamais sur les pop-ups . Jamais. Vous ne savez jamais où ils vous emmèneront ensuite.
- Si votre navigateur affiche un avertissement à propos d'un site Web auquel vous essayez d'accéder, faites attention à cet avertissement et obtenez vos informations ailleurs. Si vous avez cliqué sur un lien qui vous a été envoyé par e-mail ou SMS, il se peut que celui-ci vous renvoie vers un site malveillant pour récupérer un fichier infecté. Le message d'erreur affiché est votre ami.
Conclure
Voilà donc tout ce qu’il faut savoir sur les virus de macro. Il s’agit en quelque sorte d’un virus unique, car ils sont liés à une application particulière plutôt qu’à un appareil. Mais étant donné l’omniprésence actuelle des applications qu’ils infectent, les macrovirus peuvent potentiellement causer de graves dégâts. En suivant les conseils de sécurité ci-dessus, tant pour les organisations que pour les particuliers, vous et votre organisation pouvez les éviter complètement – ou, à tout le moins, savoir quoi faire en cas d’attaque de macrovirus.
Comme toujours, restez en sécurité (et sans virus).