Microsoft 365 désactivera ActiveX, car les pirates continuent de l'utiliser

Microsoft Office prend en charge ActiveX depuis des années en option pour étendre et automatiser des documents, mais il a également été une vulnérabilité de sécurité importante. Microsoft commence enfin à désactiver ActiveX dans les applications Microsoft 365, après une décision similaire dans le package Office 2024 de l'année dernière.

À partir de ce mois, les versions Windows de Microsoft Word, Excel, PowerPoint et Visio dans Microsoft 365 désactiveront tous les contenus ActiveX par défaut sans afficher une notification. Les versions Mac et Web des applications Office n'ont jamais pris en charge le contenu ActiveX en premier lieu.

Microsoft a déclaré dans un article de blog: «Le paramètre par défaut précédent», invite-moi avant d'activer tous les contrôles avec un minimum de restrictions », vous a permis de permettre des contrôles ActiveX potentiellement dangereux, qui pourraient être exploités par les attaquants via l'ingénierie sociale ou les fichiers malveillants. Le nouveau paramètre par défaut est plus sécurisé car il bloque entièrement ces contrôles. »

Ce changement a déjà été mis en œuvre dans Microsoft Office 2024, mais maintenant il arrive également aux applications Microsoft 365 basées sur l'abonnement. Il est disponible dès maintenant dans la chaîne bêta pour la version 2504 (Build 18730.20030) ou plus tard des applications, et le changement devrait bientôt se dérouler sur tout le monde sous Windows.

Surtout, ActiveX n'est pas complètement supprimé des applications Office. Certaines organisations pourraient toujours activer la fonctionnalité et les comptes personnels peuvent basculer en naviguant vers le fichier> Options> Centre de confiance> Paramètres du centre de confiance> Paramètres ActiveX> Invite-moi avant d'activer tous les contrôles avec des restrictions minimales.

Bye bye, activex

Microsoft a publié la première version d'ActiveX en 1996, permettant aux sites Web d'Internet Explorer et des documents de Microsoft Office pour intégrer du code complexe et du contenu interactif. Par exemple, les contrôles ActiveX sont utilisés pour créer des boutons et des listes de contrôle dans des documents de bureau, qui pourraient modifier le document ou effectuer des actions externes lorsqu'ils cliquent.

ActiveX avait des utilisations légitimes, mais elle est beaucoup plus populaire pour le phishing et les logiciels malveillants. Il y a eu de nombreux exploits de sécurité dans ActiveX qui ont permis un document Word ou PowerPoint apparemment sûr pour modifier les paramètres et les fichiers Windows. Il s'agissait également d'un risque fréquent de sécurité et de confidentialité dans Internet Explorer, et il n'a jamais été porté vers son remplacement, Microsoft Edge.

Microsoft a finalement mis à jour les applications Office pour ne pas exécuter automatiquement le contenu ActiveX, mais certains fichiers malveillants peuvent informer les gens avec succès pour cliquer sur le bouton «Activer le contenu». Microsoft supprimant cette option par défaut aidera à réduire ces attaques, tout en permettant au contenu ActiveX d'exécuter si cela est absolument nécessaire.

Ce changement semble être la dernière étape avant de retirer entièrement ActiveX des applications Office, mais il n'est pas clair quand (ou si) cela se produira. Certains documents ne fonctionnent que correctement avec ActiveX, et la plate-forme plus récente de Microsoft n'est pas un remplacement complet. Ceci est à peu près aussi sécurisé que ActiveX peut l'obtenir.

Microsoft a commencé à bloquer automatiquement Visual Basic for Applications (VBA) Macros dans les documents de bureau en 2022, qui ont également été fréquemment utilisés pour la distribution de logiciels malveillants. Ce changement a été déployé dans toutes les éditions des applications Office qui ont été soutenues à l'époque, notamment Office LTSC, Office 2021, Office 2019, Office 2016 et Office 2013.