Vagues de courriels contenant des documents Office malicieux

08.07.2016 - Ces dernières semaines, un grand nombre d’annonces concernant des documents Office malicieux ont été effectuées auprès de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI. Ces documents sont diffusés par e-mail et ont comme finalité d’infecter la machine de l’utilisateur avec un logiciel malveillant (maliciel). MELANI recommande fortement de ne pas ouvrir ce type de documents, de faire preuve d’une prudence accrue dans le traitement des documents Office en général et de ne pas exécuter les macros dans ces derniers.

Le nombre de campagnes de pourriel (spam) visant à diffuser des documents Office malicieux (de type .doc, .docx, .xls, .xlsx, .ppt und .pptx) est en forte augmentation ces dernières semaines. La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI observe quasi quotidiennement ce type de campagnes ayant comme finalité d’infecter les machines d’utilisateurs avec un logiciel malveillant (maliciel). Les maliciels généralement transmis par cette méthode sont Locky (un rançongiciel) ou Dridex (un cheval de Troie bancaire). Si Locky chiffre les données de l’utilisateur avant de chercher à extorquer de l’argent à ce dernier, Dridex cible les comptes eBanking d’utilisateurs suisses.

office_markro_deaktivieren
Image 1 – Avertissement de sécurité Office lors de l’ouverture d’un document contenant une macro - En français : Avertissement de sécurité – Les macros ont été désactivées

Afin d’infecter la machine de l‘utilisateur, les auteurs de l’attaque utilisent des macros. Pour des raisons de sécurité, Microsoft désactive automatiquement l’exécution des macros non signées. A l’aide d’ingénierie sociale, les attaquants cherchent à convaincre le destinataire de l’e-mail d’activer les macros (voir capture d’écran ci-dessus). Si les macros sont activées, du code malveillant est téléchargé depuis Internet et la machine se trouve infectée par un maliciel.

Les recommandations de MELANI aux utilisateurs: 

  • Soyez prudent dans le traitement des documents Microsoft Office (Word, Excel, Powerpoint). N’ouvrez pas de documents issus de source inconnue ou suspecte. En cas de doute, n’hésitez pas à vérifier la légitimité du document par téléphone.
  • N’exécutez jamais les macros de documents Office vous ayant été envoyés par e-mail, même lorsque l’on vous demande explicitement de le faire. Les macros peuvent endommager votre ordinateur ! (voir capture d’écran ci-dessus)
  • Soyez en règle générale sceptique en présence d‘e-mails inattendus (par exemple : factures, commandes, candidatures etc.) ou d‘e-mails de source inconnue. En cas de doute, n’hésitez pas à vérifier la légitimité du document par téléphone.
  • Utilisez une solution antivirus à jour. Si vous utilisez une solution payante, assurez-vous que votre abonnement soit toujours actif, sans quoi la protection est inutile.
  • Veillez à effectuer des sauvegardes régulières de vos données sur un support externe (par ex. un disque dur externe). Après la sauvegarde, veillez à déconnecter de l'ordinateur le support contenant les données sauvegardées. 

MELANI suggère aux entreprises d'appliquer les mesures supplémentaires suivantes: 

  • Pour la validation des virements par eBanking, il est recommandé d’utiliser une signature collective (chaque virement doit être accepté par deux comptes différents, ce qui réduit grandement le risque de virement frauduleux). Votre banque pourra vous informer des modalités d’accès à ce système.
  • Pour l’eBanking, il est recommandé d’utiliser une machine dédiée uniquement à cette activité (laquelle ne sera pas utilisée pour naviguer sur Internet ou lire des e-mails).
  • Veillez à bloquer ou filtrer la réception de courriels contenant des fichiers dangereux sur votre passerelle de messagerie ou filtre antispam. Sont dangereux notamment les fichiers : 

.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell) 

  • Veillez à ce que ces fichiers soient également bloqués lorsqu'ils sont envoyés dans un fichier d'archive tel qu'un fichier ZIP ou RAR ou dans un fichier ZIP protégé par un mot de passe.
  • Par ailleurs, il est recommandé de bloquer tous les fichiers joints contenant des macros (par ex. Word, Excel ou PowerPoint).

Des mesures et recommandations supplémentaires sont disponibles sur le site web de MELANI

Contact spécialisé
Dernière modification 08.07.2016

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/malicious_office_documents.html