On nous dit que les macros Office, c'est un problème des années 2010. Que Microsoft a poussé le verrou « Block macros from running in Office files from the Internet » en 2022, que tous les CISO ont coché la case, qu'on est passés à autre chose. Sauf que la campagne PRISMEX d'APT28 que je documente cette semaine prouve l'inverse : les macros VBA restent en 2026 le vecteur d'attaque préféré des APT étatiques. Et la raison est gênante : on ne les bloque pas vraiment.

La règle existe, l'exception est partout

Dans 80 % des audits Microsoft 365 que je conduis, la GPO de blocage des macros est bien activée. Bravo. Mais quand je liste les exceptions, le tableau noircit vite : le département financier qui « a besoin » de macros pour ses fichiers Excel d'analyse mensuelle. La direction commerciale qui reçoit des fichiers de partenaires « historiques de confiance ». Le service achats qui reçoit des bordereaux de fournisseurs qui n'ont jamais migré ailleurs que vers .xlsm. Chaque exception est légitime prise isolément. Empilées, elles dessinent la vraie surface d'attaque : les comptes les plus exposés à du phishing ciblé sont précisément ceux pour qui la règle ne s'applique plus.

APT28 ne tire pas au hasard. Le leurre PrismexSheet documenté par F5 Labs et Security Affairs imite une grille tarifaire de munitions ou un inventaire de drones. La cible : responsables logistique défense, achats militaires, dirigeants opérationnels d'opérateurs ferroviaires. Très exactement le profil pour lequel la GPO a été assouplie « parce que c'est leur métier ».

Le piège du « zone Internet » mal compris

La règle Microsoft bloque les macros venant de la zone Internet, identifiée par le Mark of the Web (MOTW). Le problème, c'est que le MOTW se perd dès qu'un fichier transite par certains chemins. Pièce jointe extraite d'un .zip avec un outil tiers ? MOTW perdu. Fichier déposé sur un partage SMB interne après extraction ? MOTW absent. Document récupéré via Teams ou Sharepoint et synchronisé via OneDrive ? Selon la version du client et la configuration tenant, le MOTW est tantôt préservé, tantôt non.

Sur le terrain, j'ai vu des organisations équipées de Microsoft Defender for Office 365 E5 considérer que leur problème macros était réglé. Sauf que dans leur scénario réel, le fichier piégé arrivait via un partenaire externe sur Slack, était téléchargé via un outil tiers, copié sur un partage SharePoint, puis ouvert. Au moment de l'ouverture, plus aucune trace d'origine Internet. Macro exécutée. Persistance posée.

Le COM hijacking, ce vieux truc qu'on n'a toujours pas appris à voir

Une fois la macro exécutée, PRISMEX installe sa persistance via COM hijacking. C'est-à-dire qu'il modifie une clé HKCU\Software\Classes\CLSID pour faire pointer un identifiant COM légitime vers une DLL malveillante posée dans le profil utilisateur. La technique a été documentée par Mandiant dès 2014. Elle figure dans MITRE ATT&CK sous T1546.015. Et pourtant, en 2026, je continue de voir des SOC qui ne couvrent pas cette technique avec une règle de détection.

La raison est mécanique : la couverture COM hijacking nécessite une télémétrie registre fine (Sysmon Event ID 12 et 13, ou équivalent EDR), et beaucoup de SIEM mutualisent cette source de logs au niveau « basique » pour tenir leur volume de données dans les seuils de licence. Quand on coupe la télémétrie de précision pour économiser des EPS, on laisse passer la persistance la plus discrète du moment.

Mon avis d'expert

Le sujet macros n'est pas un sujet technique. C'est un sujet de gouvernance. Tant que les exceptions à la GPO de blocage des macros restent gérées au coup par coup par le helpdesk, sans revue annuelle, sans contrôle de la justification métier, sans alternative proposée (Power Query, Power Automate, scripts Office Scripts dans Excel Online), vous restez vulnérable à PRISMEX et à ses successeurs. Et tant que votre SOC ne capture pas la télémétrie registre fine, vous ne verrez pas le COM hijacking quand il arrivera. Mon recommandé minimal : audit trimestriel de la liste des exceptions GPO macros, validation par le DPO ou le RSSI sur la justification métier, tracking de chaque utilisateur en exception comme « actif à risque accru ».

Sortir de l'ornière : par quoi commencer cette semaine

Trois actions concrètes, faisables en quelques heures par un admin M365 et un analyste SOC. Une, lister via Microsoft Endpoint Manager les utilisateurs et groupes qui ont une exception à la politique macros — c'est rarement plus de 5 % du parc, mais c'est précisément les 5 % qui comptent. Deux, activer Sysmon avec un fichier de configuration qui couvre Event ID 12, 13 et 22 (registre + DNS), même si vous n'avez pas le budget EDR ; les logs partent dans votre SIEM existant. Trois, écrire une règle simple : alerte si une clé HKCU\Software\Classes\CLSID\* est modifiée et pointe vers un chemin AppData, Temp ou Downloads. Quasiment aucun faux positif, et vous attrapez 100 % des techniques de persistance par COM hijacking.

Conclusion

La sophistication d'APT28 n'est pas dans son code. Elle est dans sa lecture précise des angles morts qu'on entretient nous-mêmes : exceptions GPO mal gérées, télémétrie SIEM bridée pour des raisons budgétaires, croyance que « le problème macros est derrière nous ». La réalité est qu'en 2026, le vecteur Excel + VBA reste opérationnel pour les attaquants étatiques parce que nos défenses ne sont pas alignées avec leurs adaptations. Reprenez le contrôle de vos exceptions, c'est votre meilleur retour sur investissement défensif du trimestre.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact