Header Navigation - FR
Background image for Qu'est-ce qu'un virus macro ? Risques, prévention et détection
Cybersecurity 101/Renseignements sur les menaces/Macrovirus

Qu'est-ce qu'un virus macro ? Risques, prévention et détection

Les virus macro exploitent les vulnérabilités des logiciels pour se propager. Comprenez leur fonctionnement et apprenez à vous défendre contre ces menaces.

Auteur: SentinelOne

Les virus macro sont des codes malveillants intégrés dans des documents qui exploitent les capacités des macros. Ce guide explore le fonctionnement des virus macro, leurs risques et les stratégies de prévention.

Découvrez l'importance d'une gestion sécurisée des documents et de la sensibilisation des utilisateurs. Il est essentiel de comprendre les virus macro pour protéger les systèmes contre cette menace persistante.

Pourquoi les macros constituent-elles un risque pour la sécurité ?

Les macros peuvent constituer un risque pour la sécurité, car elles peuvent être utilisées pour exécuter du code malveillant sur un système. Dans le cas des virus macro, le code malveillant est intégré dans une macro et s'active lorsque le document ou le modèle infecté est ouvert. Cela permet au virus d'exécuter son code à l'insu et sans le consentement de l'utilisateur, ce qui peut causer divers types de dommages, tels que la corruption ou le vol de données. De plus, les pirates peuvent utiliser des macros pour contourner les contrôles de sécurité et obtenir un accès non autorisé aux systèmes et aux réseaux. C'est pourquoi il est important de n'activer que les macros provenant de sources fiables et d'analyser régulièrement votre système à la recherche de malware à l'aide d'un programme antivirus réputé.

Quelles sont les caractéristiques d'un virus macro ?

Les caractéristiques d'un virus macro peuvent varier en fonction du virus spécifique, mais de nombreux virus macro partagent certaines caractéristiques communes. Voici quelques-unes de ces caractéristiques :

  • Ils sont écrits en langage macro Visual Basic for Applications (VBA), tel que celui utilisé par les applications de productivité comme Microsoft Office.
  • Ils se propagent généralement par le biais de documents ou de modèles infectés qui sont partagés entre les utilisateurs.
  • Ils peuvent être activés lorsque l'utilisateur ouvre le fichier infecté, moment auquel le virus peut exécuter son code malveillant.
  • Ils peuvent causer divers types de dommages, allant d'une simple nuisance à des conséquences plus graves telles que la corruption ou le vol de données.
  • Ils peuvent être difficiles à détecter, car ils peuvent être intégrés dans des macros légitimes, et peuvent être difficiles à supprimer une fois qu'ils ont infecté un système.

Quels sont les symptômes d'une infection par un virus macro ?

Les symptômes d'une infection par un virus macro peuvent varier en fonction du virus spécifique, mais il existe certains signes courants indiquant qu'un système peut être infecté. Voici quelques-uns de ces symptômes :

  • Comportement inhabituel ou inattendu de l'application infectée, tel qu'un plantage ou un blocage.
  • Des fichiers ou dossiers inhabituels ou inattendus apparaissent sur le système.
  • Modifications des paramètres ou des configurations du système à l'insu ou sans le consentement de l'utilisateur.
  • Dégradation des performances du système, telle qu'un temps de réponse plus lent ou une vitesse globale réduite.
  • Accès non autorisé au système ou au réseau par des parties externes.
  • Messages ou alertes inhabituels ou inattendus apparaissant à l'écran.

Si vous pensez que votre système est infecté par un virus macro, il est important d'effectuer immédiatement une analyse complète du système à l'aide d'un programme anti-malware réputé et de contacter votre administrateur informatique. Si l'infection est confirmée, il est important de suivre les instructions fournies par le programme antivirus pour supprimer le virus et restaurer votre système à un état sain.

Une macro peut-elle s'exécuter automatiquement ?

Oui, une macro peut s'exécuter automatiquement dans certaines circonstances. Dans la plupart des cas, les macros doivent être activées par l'utilisateur pour pouvoir s'exécuter. Cependant, certains virus macro sont conçus pour s'exécuter automatiquement lorsque le document ou le modèle infecté est ouvert à l'insu ou sans le consentement de l'utilisateur. C'est l'une des raisons pour lesquelles les virus macro peuvent être si dangereux, car ils peuvent exécuter leur code malveillant à l'insu de l'utilisateur. Pour vous protéger contre ce type de menace, il est important de n'activer que les macros provenant de sources fiables et d'analyser régulièrement votre système à la recherche de logiciels malveillants à l'aide d'un programme antivirus réputé.

Les macros peuvent-elles infecter avec des ransomwares ?

Il est difficile de dire si une faille de sécurité spécifique a été causée par un virus macro, car les causes potentielles de failles de sécurité sont nombreuses. Un virus macro peut être utilisé pour transmettre une infection par ransomwareransomware. Un ransomware est un logiciel malveillant qui chiffre les fichiers de la victime et exige le paiement d'une rançon pour les déchiffrer. Un virus macro peut parfois transmettre la charge utile du ransomware en intégrant le code malveillant dans une macro d'un document ou d'un modèle. Lorsque l'utilisateur ouvre le fichier infecté, le virus macro est activé et peut exécuter le ransomware, chiffrant ainsi les fichiers de la victime. La victime reçoit alors une demande de rançon, généralement sous la forme d'un message à l'écran ou d'une notification dans la zone de notification du système infecté. Il est important de noter que le paiement de la rançon ne garantit pas que la victime pourra récupérer ses fichiers et que le meilleur moyen de se protéger contre les infections par ransomware est de mettre en œuvre des mesures de sécurité strictes et de sauvegarder régulièrement les données importantes.

Les Mac peuvent-ils être infectés par un virus macro ?

Oui, les Mac peuvent être infectés par un virus macro. Les virus macro ne sont pas limités à un système d'exploitation spécifique et peuvent potentiellement infecter tout appareil capable d'exécuter le langage macro dans lequel le virus est écrit. Dans le cas des Mac, si un virus macro est écrit dans un langage pouvant être utilisé sur un Mac, tel qu'AppleScript, le Mac peut être infecté par le virus. Il est important que les utilisateurs de Mac soient conscients des menaces potentielles posées par les virus macro et prennent des mesures pour protéger leurs appareils, par exemple en n'activant que les macros provenant de sources fiables et en recherchant régulièrement les logiciels malveillants à l'aide d'un programme antivirus réputé.

Voici quelques exemples concrets de virus macro ciblant les Mac :

OSX.BadWord est une menace qui exploite une faille de sécurité dans Microsoft Word pour Mac et délivre une charge utile Meterpreter. À l'instar d'attaques similaires basées sur Word sous Windows, celle-ci exploite une macro VBA pour exécuter du code et infecter l'utilisateur. OSX.BadWord est distribué par e-mail au personnel de la plateforme de cryptomonnaie Quidax, les invitant à contribuer au " BitCoin Magazine UK ".

En 2018, le groupe APT lié à la Corée du Nord Lazarus a activement ciblé les plateformes d'échange de cryptomonnaies. En mars, des chercheurs ont découvert un document Word transformé en arme et utilisé comme dropper pour une porte dérobée macOS. Ce document, rédigé en coréen, faisait partie d'une série utilisée dans le cadre d'une campagne visant les entreprises sud-coréennes et les plateformes d'échange de cryptomonnaies.

En 2019, Lazarus APT cible les utilisateurs Mac avec un document Word infecté.

Linux peut-il être infecté par un virus macro ?

En théorie, Linux pourrait potentiellement être infecté par un virus macro. Les virus macro ne sont pas limités à un système d'exploitation spécifique et peuvent potentiellement infecter tout appareil capable d'exécuter le langage macro dans lequel le virus est écrit. Bien que Linux soit généralement considéré comme plus sûr que les autres systèmes d'exploitation et moins souvent ciblé par les logiciels malveillants, il n'est pas immunisé contre tous les types de menaces, y compris les virus macro. Si un virus macro est écrit dans un langage pouvant être utilisé sous Linux, tel qu'un langage macro spécifique à Linux ou un langage multiplateforme comme Java, le système Linux peut être infecté par le virus. Pour se protéger contre cette menace, les utilisateurs de Linux doivent prendre des mesures de sécurité appropriées, telles que n'activer que les macros provenant de sources fiables et rechercher régulièrement les logiciels malveillants à l'aide d'un programme antivirus réputé.

Quel est un exemple de virus macro ?

Le virus Melissa virus, découvert pour la première fois en 1999, est un exemple de virus macro. Le virus Melissa a été écrit en langage macro Visual Basic for Applications (VBA) et s'est propagé via des documents Microsoft Word infectés. Lorsqu'un utilisateur ouvrait un document infecté, le virus exécutait son code, qui comprenait sa réplication en envoyant des e-mails infectés aux 50 premiers contacts du carnet d'adresses Outlook de la victime. Le virus Melissa a causé d'importantes perturbations, se propageant rapidement à des milliers d'ordinateurs et surchargeant les serveurs de messagerie. Il est considéré comme l'un des premiers vers de messagerie à s'être largement répandu. Si le virus Melissa est un exemple de virus macro, il convient de noter que de nouveaux virus macro sont constamment créés et que les caractéristiques et les comportements spécifiques de chaque virus peuvent varier considérablement.

SentinelOne peut-il détecter les virus macro ?

Parmi les exemples plus récents d'acteurs malveillants et de groupes cybercriminels utilisant des infections par macro, on peut citer :

  1. Locky Ransomware : ce type de ransomware utilise un macro-malware pour crypter les fichiers de la victime et exige le paiement d'une rançon pour les déverrouiller.
  2. Dridex : ce cheval de Troie bancaire utilise un macro-malware pour voler des informations financières sensibles sur le système de la victime.
  3. Emotet : ce type de logiciel malveillant utilise des pièces jointes contenant des macros pour infecter le système de la victime et voler des informations sensibles.
  4. Ursnif: Il s'agit d'un cheval de Troie bancaire qui utilise un logiciel malveillant à macro pour voler les identifiants de connexion et d'autres informations sensibles du système de la victime.
  5. Adwind: ce type de logiciel malveillant utilise des documents contenant des macros pour infecter le système de la victime et voler des informations sensibles.

Ce ne sont là que quelques exemples de logiciels malveillants utilisant des macros. Il existe de nombreux autres types de logiciels malveillants utilisant des macros, et de nouvelles variantes sont constamment développées par les pirates.

Améliorez votre veille sur les menaces

Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.

En savoir plus

Un document Office peut-il contenir un logiciel malveillant qui n'est pas un virus macro ?

Oui, un document Office peut potentiellement contenir un logiciel malveillant qui n'est pas un virus macro. Si les virus macro sont un type de menace courant, ils ne sont pas le seul type de logiciel malveillant pouvant être intégré dans des documents Office. D'autres types de logiciels malveillants, tels que les chevaux de Troie, les vers ou les ransomwares, peuvent également être dissimulés dans un document Office et s'activer lorsque l'utilisateur ouvre le fichier. Dans certains cas, le logiciel malveillant peut ne pas être écrit dans un langage macro et utiliser d'autres méthodes pour exécuter son code. Par exemple, le logiciel malveillant peut exploiter les vulnérabilités de l'application Office elle-même ou du système d'exploitation pour exécuter son code à l'insu et sans le consentement de l'utilisateur. Il est important que les utilisateurs soient conscients de ces types de menaces et prennent des mesures pour se protéger, par exemple en n'ouvrant que des documents Office provenant de sources fiables et en effectuant régulièrement des analyses à la recherche de logiciels malveillants à l'aide d'un programme antivirus réputé.

Dans cette vidéo, vous pouvez voir comment l'agent SentinelOne, configuré en mode détection seule, peut détecter une attaque de logiciel malveillant basée sur Word qui n'utilise pas de macro. Ce document contient deux objets OLE intégrés ; chacun contient du JScript et exécute une commande cmd qui lance Powershell et exécute le logiciel malveillant.

Comment se protéger contre les logiciels malveillants de type macro ?

En tant qu'utilisateur final, vous pouvez prendre certaines mesures pour vous protéger contre les logiciels malveillants de type macro :

  1. Soyez prudent lorsque vous ouvrez des pièces jointes, en particulier celles provenant de sources inconnues.
  2. Évitez d'activer les macros dans les documents, sauf si vous faites confiance à la source et savez que les macros sont sûres.
  3. Maintenez votre système d'exploitation et vos logiciels à jour avec les derniers correctifs de sécurité.
  4. Utilisez un programme antivirus ou anti-malware réputé et maintenez-le à jour.
  5. Soyez prudent lorsque vous téléchargez des fichiers sur Internet et ne téléchargez qu'à partir de sources fiables.

En tant que CISO ou administrateur informatique, vous pouvez prendre plusieurs mesures pour protéger votre organisation contre les logiciels malveillants macro :

  1. Déployez un anti-malware capable de détecter les virus macro locaux. Parfois, les codes malveillants désactivent le trafic réseau afin de mener à bien leurs activités malveillantes sans être détectés.
  2. Sensibilisez vos employés aux risques liés aux logiciels malveillants de type macro et rappelez-leur de faire preuve de prudence lorsqu'ils ouvrent des pièces jointes et activent des macros dans des documents.
  3. Mettez en place un système de sécurité des e-mails robuste pour détecter et bloquer les e-mails de phishing et autres messages contenant des logiciels malveillants.
  4. Créez et appliquez des politiques qui restreignent l'utilisation des macros dans les documents ou exigent que toutes les macros soient examinées et approuvées avant d'être utilisées.
  5. Maintenez tous les systèmes d'exploitation et logiciels à jour avec les derniers correctifs de sécurité et utilisez des programmes antivirus et anti-malware réputés pour vous protéger contre les logiciels malveillants.
  6. Mettez en place des audits de sécurité réguliers et des tests de pénétration afin d'identifier les vulnérabilités et les faiblesses des défenses de votre organisation.

Conclusion

Il est peu probable que Microsoft supprime les macros pour des raisons de sécurité. Les macros sont un outil précieux pour automatiser les tâches et améliorer la productivité, et elles sont largement utilisées dans de nombreuses applications différentes. Bien que certaines macros présentent des risques pour la sécurité, tels que la possibilité de virus macro et d'autres types de logiciels malveillants, ces risques peuvent être atténués en suivant les meilleures pratiques et en mettant en œuvre des mesures de sécurité appropriées.

La plateforme Singularity™ de SentinelOneSingularity™ Platform aide les professionnels de la sécurité à résoudre de manière proactive les menaces modernes à la vitesse de la machine. Singularity fait de la vision future d'une cybersécurité autonome et basée sur l'IA une réalité d'aujourd'hui. Pour découvrir comment SentinelOne peut aider votre SOC à gérer plus efficacement les risques sur les terminaux des utilisateurs, les charges de travail du cloud hybride, l'IoT, etc. Contactez-nous ici, et discutons ensemble de votre environnement unique.

"

FAQ sur les virus macro

Un virus macro est un virus informatique écrit dans le même langage macro que celui utilisé par les applications logicielles telles que Microsoft Word et Excel. Ces virus ajoutent leur code aux macros associées aux documents, feuilles de calcul et autres fichiers de données. Ils ciblent les applications plutôt que les systèmes d'exploitation, ce qui leur permet d'infecter n'importe quel ordinateur fonctionnant sous Windows, macOS ou Linux.

Lorsque vous ouvrez un document infecté, le virus macro s'active et peut se propager à d'autres fichiers de votre système.

Le virus macro le plus célèbre est Melissa, apparu en mars 1999, qui envoyait des copies de lui-même aux 50 premiers contacts du carnet d'adresses Outlook des victimes. Un autre exemple bien connu est le virus Concept, apparu pour la première fois en juillet 1995 et accidentellement expédié par Microsoft sur un CD-ROM.

Ces virus ont causé des millions de dollars de dommages et ont contribué à démontrer à quel point les attaques basées sur les macros pouvaient être dangereuses.

Les virus macro se propagent lorsque vous ouvrez ou fermez des documents infectés. Ils arrivent généralement par le biais de pièces jointes à des e-mails, de CD-ROM ou de fichiers téléchargés sur Internet. Une fois activé, le virus peut remplacer les macros normales par des macros malveillantes qui s'exécutent automatiquement à l'ouverture des documents.

Ils peuvent également se propager via des réseaux partagés, des disques amovibles infectés et lorsque des fichiers sont partagés entre utilisateurs. Le virus s'intègre dans les modèles de documents, infectant ainsi tous les nouveaux documents.

Oui, les virus macro peuvent être très nuisibles. Ils peuvent créer de nouveaux fichiers, corrompre des données, déplacer du texte, envoyer des fichiers, formater des disques durs et insérer des images. Certains virus macro sont conçus pour voler des informations sensibles ou installer des logiciels malveillants supplémentaires.

Ils peuvent également accéder à vos comptes de messagerie et envoyer automatiquement des fichiers infectés à tous vos contacts, propageant ainsi le virus. Si certains ne causent que des désagréments mineurs, d'autres peuvent causer des dommages importants à votre système et à vos données.

Vous remarquerez plusieurs signes avant-coureurs si votre ordinateur est infecté par un virus macro. Votre ordinateur fonctionne plus lentement que d'habitude et vous êtes invité à saisir des mots de passe pour des fichiers qui n'en nécessitent normalement pas. Les documents peuvent être enregistrés sous forme de fichiers modèles au lieu de fichiers normaux. Vous pouvez également recevoir des plaintes de collègues concernant des e-mails étranges que vous auriez soi-disant envoyés.

D'autres symptômes incluent des messages d'erreur inhabituels et un comportement inattendu lors de l'ouverture ou de l'enregistrement de documents.

Vous pouvez supprimer les virus macro à l'aide d'un logiciel antivirus tel que Norton, Avast ou AVG. Lancez une analyse complète du système pour détecter et supprimer les fichiers infectés. Si vous préférez une suppression manuelle, démarrez votre ordinateur en mode sans échec et utilisez un antivirus pour identifier les fichiers suspects. Veillez à mettre régulièrement à jour votre logiciel antivirus afin de détecter les nouveaux virus macro. Vous devez également vérifier vos documents pour détecter toute macro infectée et les désactiver afin d'éviter toute réinfection.

La meilleure façon de prévenir les virus macro est de désactiver les macros par défaut dans les applications Microsoft Office. Activez les paramètres de sécurité des macros qui exigent votre autorisation avant d'exécuter toute macro. Utilisez un logiciel antivirus fiable et mettez-le régulièrement à jour. N'ouvrez pas les pièces jointes provenant de sources inconnues et soyez prudent lorsque vous téléchargez des fichiers sur Internet.

Vous devez également utiliser des signatures numériques pour vérifier l'authenticité des documents avant de les ouvrir.

En savoir plus sur Renseignements sur les menaces

Comment prévenir les attaques par élévation de privilèges ?Renseignements sur les menaces

Comment prévenir les attaques par élévation de privilèges ?

L'escalade des privilèges et le contrôle d'autres comptes et réseaux constituent l'une des premières étapes des adversaires dans leur attaque contre votre organisation. Notre guide vous apprend à prévenir les attaques par élévation de privilèges.

En savoir plus
Comment prévenir les menaces persistantes avancées (APT) ?Renseignements sur les menaces

Comment prévenir les menaces persistantes avancées (APT) ?

Sécurisez votre organisation dès aujourd'hui en apprenant à prévenir le développement de menaces persistantes avancées. Détectez les infections et corrigez-les avant qu'elles ne s'aggravent.

En savoir plus
Comment prévenir les attaques par credential stuffing ?Renseignements sur les menaces

Comment prévenir les attaques par credential stuffing ?

Notre guide vous apprendra comment prévenir les attaques par credential stuffing. Il vous préparera également aux menaces futures et vous aidera à améliorer vos défenses sur plusieurs applications et services.

En savoir plus
Comment prévenir les attaques d'ingénierie sociale ?Renseignements sur les menaces

Comment prévenir les attaques d'ingénierie sociale ?

Ne tombez pas dans le piège des derniers scarewares, spams et escroqueries. Apprenez à prévenir les attaques d'ingénierie sociale, comprenez comment elles fonctionnent et prenez des mesures pour contrer et mettre en quarantaine les menaces.

En savoir plus
Prêt à révolutionner vos opérations de sécurité ?

Prêt à révolutionner vos opérations de sécurité ?

Découvrez comment SentinelOne AI SIEM peut transformer votre SOC en une centrale autonome. Contactez-nous dès aujourd'hui pour une démonstration personnalisée et découvrez l'avenir de la sécurité en action.

Demander une démonstration