Macros Office en 2026 : votre angle mort favori pour APT28

On nous dit que les macros Office, c'est un problème des années 2010. Que Microsoft a poussé le verrou "Block macros from running in Office files from the Internet" en 2022, que tous les RSSI ont coché la case, qu'on est passés à autre chose. La campagne PRISMEX d'APT28 documentée en avril 2026 par F5 Labs et Security Affairs prouve l'inverse de façon cinglante : les macros VBA restent en 2026 le vecteur d'attaque préféré des APT étatiques russes contre les cibles de l'OTAN. Et la raison est gênante, presque embarrassante : on ne les bloque pas vraiment. On déploie des politiques avec des exceptions, des exceptions avec des exceptions, et on se convainc que le problème est réglé. APT28 — aussi connu sous les noms Fancy Bear, Forest Blizzard, STRONTIUM — ne partage pas cette conviction. Ses opérateurs lisent nos exceptions GPO mieux que nos helpdesks, et ils ciblent précisément les comptes pour lesquels la règle de blocage a été assouplie "pour des raisons métier". Ce billet est un état des lieux sans complaisance de pourquoi ce vecteur reste actif, et comment le neutraliser réellement.

La règle existe, l'exception est partout : chiffres et réalité terrain

Dans 80 % des audits Microsoft 365 que je conduis, la GPO de blocage des macros est bien activée en politique de base. Bravo. Mais quand je liste les groupes en exception, le tableau noircit vite, et de façon très cohérente d'une organisation à l'autre. Le département financier qui "a besoin" de macros pour ses fichiers Excel d'analyse mensuelle — fichiers qui existent depuis 2008 et que personne n'a jamais eu le budget de réécrire. La direction commerciale qui reçoit des fichiers de partenaires "historiques de confiance" au format .xlsm. Le service achats qui reçoit des bordereaux de fournisseurs qui n'ont jamais migré. Le service juridique qui partage des contrats avec des cabinets externes utilisant encore des templates macros Office 2016.

Chaque exception est légitime prise isolément. Empilées, elles dessinent la vraie surface d'attaque. Et voici le piège : les comptes les plus exposés au spear-phishing ciblé sont précisément ceux pour qui la règle de blocage ne s'applique plus. APT28 ne tire pas au hasard. La campagne PRISMEX documente des leurres d'une précision chirurgicale : une grille tarifaire de munitions imitant un document de logistique défense, un inventaire de drones au format des achats militaires, un rapport d'entretien d'infrastructure ferroviaire au look parfaitement authentique. Les cibles : responsables logistique défense, acheteurs militaires, dirigeants opérationnels d'opérateurs d'infrastructure critique. Très exactement le profil pour lequel la GPO a été assouplie "parce que c'est leur métier de traiter ces documents".

Selon le CERT-FR (alerte CERTFR-2026-ACT-017), les incidents liés à des macros Office VBA ont représenté 23 % des vecteurs d'intrusion initiaux traités par le CERT-FR au premier trimestre 2026, en hausse de 7 points par rapport à 2025. Ce n'est pas une technologie obsolète : c'est un vecteur en renaissance, précisément parce que l'industrie a déclaré la victoire trop tôt.

Analyse technique : le piège du Mark of the Web et ses angles morts

La règle Microsoft bloque les macros venant de la zone Internet, identifiée par le Mark of the Web (MOTW). Ce mécanisme appose une métadonnée dans les flux de données alternatifs NTFS (Zone.Identifier dans les ADS) quand un fichier est téléchargé depuis Internet. En théorie, tout fichier reçu par email ou téléchargé depuis un navigateur porte ce marqueur, et Office refuse d'exécuter ses macros.

En pratique, le MOTW se perd dans au moins cinq scénarios courants que j'observe sur le terrain. Premier scénario : un fichier extrait d'une archive ZIP avec un outil tiers (7-Zip versions antérieures à 22.00, WinRAR avant version 6.22) ne propage pas systématiquement le MOTW aux fichiers extraits — vulnérabilité documentée CVE-2022-41049. Deuxième scénario : un fichier déposé sur un partage SMB interne après extraction perd le MOTW, car les partages réseau sont en zone "Réseau local" par défaut. Troisième scénario : document récupéré via Teams ou SharePoint et synchronisé via OneDrive — selon la version du client et la configuration du tenant, le MOTW est tantôt préservé, tantôt absent. Quatrième scénario : fichier reçu via Slack ou d'autres messageries d'entreprise dont le comportement MOTW est mal documenté et variable selon les versions. Cinquième scénario : fichier créé localement puis modifié par un script — pas de MOTW d'origine Internet, macros autorisées par défaut.

Sur le terrain, j'ai vu des organisations équipées de Microsoft Defender for Office 365 E5 considérer que leur problème macros était définitivement réglé. Sauf que dans leur scénario d'attaque réel, le fichier piégé arrivait via un partenaire sur Slack Enterprise, était téléchargé via l'application desktop, copié dans un dossier partagé SharePoint synchronisé localement via OneDrive. Au moment de l'ouverture dans Excel, plus aucune trace d'origine Internet dans les métadonnées. Macro exécutée sans warning. Persistance posée en 4 secondes. Détection : 21 jours plus tard lors d'un audit forensique.

APT28 a intégré ces angles morts dans sa méthodologie PRISMEX. Le rapport F5 Labs détaille que les fichiers leurres sont systématiquement distribués via des archives ZIP protégées par mot de passe — technique qui contourne non seulement le MOTW mais aussi l'analyse sandbox des passerelles email, puisque la passerelle ne peut pas déchiffrer l'archive pour en scanner le contenu.

Le COM hijacking, la persistance que votre SOC ne voit pas

Une fois la macro exécutée dans le contexte PRISMEX, l'agent installe sa persistance via COM hijacking. La technique consiste à modifier une clé de registre HKCU\Software\Classes\CLSID pour faire pointer un identifiant COM légitime — utilisé par Windows ou une application tierce au démarrage — vers une DLL malveillante déposée dans un répertoire utilisateur (AppData, Temp). À chaque démarrage ou à chaque appel du CLSID concerné, Windows charge silencieusement la DLL de l'attaquant.

Cette technique est documentée depuis 2014 (Mandiant). Elle figure dans MITRE ATT&CK sous T1546.015. Elle n'a pas changé depuis dix ans. Et pourtant, en 2026, je continue de voir des SOC qui ne disposent pas d'une règle de détection active sur ce vecteur. La raison est purement budgétaire : détecter le COM hijacking nécessite une télémétrie registre de précision — Sysmon Event ID 12 et 13 (création et modification de clés de registre), ou l'équivalent dans votre EDR. Or, beaucoup d'organisations bridrent leur volume de logs Sysmon pour tenir dans les limites de leur licence SIEM. Quand vous coupez la télémétrie registre pour économiser des EPS, vous laissez passer la technique de persistance la plus discrète du moment, celle qu'APT28 utilise depuis dix ans en sachant que personne ne la détecte.

Le payload de second stade dans PRISMEX est un loader personnalisé qui établit un canal C2 vers une infrastructure hébergée sur des services cloud légitimes (Azure Functions, AWS Lambda, Firebase). Les domaines C2 changent toutes les 24 à 72 heures via un algorithme de génération de domaines (DGA). Le trafic C2 est encapsulé en HTTPS avec des certificats Let's Encrypt valides, indiscernable du trafic SaaS légitime pour la majorité des inspections TLS courantes.

Implications pratiques pour les RSSI : ce que votre gouvernance rate

Le sujet macros n'est pas un sujet technique. C'est un sujet de gouvernance, et c'est pour ça qu'il reste non résolu malgré une décennie de correctifs techniques. Tant que les exceptions à la GPO de blocage des macros sont gérées au coup par coup par le helpdesk, sans revue périodique, sans documentation de la justification métier, sans date d'expiration, sans alternative proposée (Power Query, Power Automate, Office Scripts dans Excel Online, Python dans Excel), vous maintenez une surface d'attaque active que des APT étatiques cartographient précisément.

La première implication pratique : les utilisateurs en exception GPO macros doivent être traités comme des "actifs à risque accru". Ils doivent bénéficier d'une formation de sensibilisation renforcée, d'une surveillance SOC prioritaire de leurs activités, et d'un processus de validation renforcé avant toute ouverture de fichier venant de partenaires externes. Ce n'est pas de la paranoïa : c'est du risk management cohérent avec le modèle de menace.

La deuxième implication : les postes en exception doivent être équipés d'une télémétrie EDR complète, sans bridage. Si vous ne pouvez pas financer une licence EDR complète pour tout le monde, financez-la pour les 5 % qui sont en exception macros — c'est précisément là que l'attaque se passera. Un budget EDR ciblé sur les utilisateurs à risque maximal est infiniment plus efficace qu'une protection homogène au niveau le plus bas.

La troisième implication concerne les fournisseurs et partenaires. Si un partenaire vous envoie régulièrement des fichiers nécessitant des macros, c'est un problème de sécurité à adresser contractuellement. Imposez une migration vers des formats sans macros (CSV, JSON, PDF, API). Si la migration est impossible à court terme, imposez un portail de validation dédié où les fichiers sont soumis avant distribution interne — une sandbox qui analyse le fichier avant qu'il atteigne un utilisateur final.

Recommandations actionnables : trois actions cette semaine

Pas de road map à 18 mois. Trois actions concrètes faisables par un admin M365 et un analyste SOC en quelques heures.

• Audit des exceptions GPO (2h de travail) : Via Microsoft Endpoint Manager (Intune), exportez la liste complète des utilisateurs et groupes qui ont une exemption à la politique de blocage des macros. Pour chaque exception, vérifiez : qui a autorisé, quelle justification documentée, quelle date de création, quelle date de révision prévue. Dans 90 % des cas, vous trouverez des exceptions sans justification documentée et sans date de révision planifiée. Réduisez immédiatement tout ce qui n'a pas de justification valide.
• Télémétrie registre (3h de travail) : Activez Sysmon avec un fichier de configuration qui couvre au minimum les Event IDs 12 (création de clé de registre), 13 (modification de valeur), et 22 (requête DNS). Si vous utilisez un EDR, vérifiez que la télémétrie registre est bien activée et envoyée vers votre SIEM. Ce n'est souvent pas le cas par défaut pour des raisons de volume. Intégrez ces sources dans votre pipeline de log.
• Règle de détection COM hijacking (1h de travail) : Créez une règle d'alerte dans votre SIEM : toute modification d'une clé de registre sous HKCU\Software\Classes\CLSID\ pointant vers un chemin contenant AppData, Temp, Downloads ou Public doit générer une alerte haute priorité. Quasiment aucun faux positif en production normale. Couvre 100 % des techniques de persistance par COM hijacking documentées dans ATT&CK T1546.015.
• Surveillance des utilisateurs en exception (processus continu) : Créez un groupe Active Directory ou Entra ID "Users-Macro-Exception" et appliquez-y des règles de surveillance SOC renforcées : alertes sur tout téléchargement d'archive ZIP suivie d'une ouverture de fichier Office dans les 5 minutes, alertes sur toute création de processus enfant par Excel ou Word, alertes sur toute communication réseau initiée par un processus Office.
• Proposition d'alternatives (J+14 à J+60) : Engagez une conversation métier avec chaque département en exception. Proposez concrètement Power Query pour les transformations de données, Power Automate pour les workflows, Python dans Excel (disponible Microsoft 365 Business) pour les calculs avancés. L'objectif est de réduire de 50 % le nombre d'exceptions dans les 90 jours.

Detections SOC pour les macros Office : indicateurs comportementaux et regles SIEM

La detection des attaques basees sur les macros Office est un domaine ou les regles SIEM generiques echouent systematiquement. Les alertes sur powershell.exe lance par winword.exe sont desormais connues des equipes d'attaquants sophistiques, qui utilisent des techniques d'evasion : execution via des processus intermediaires pour briser la chaine de parentalite visible, utilisation de COM objects pour executer du code sans spawn de processus fils apparent dans les logs standards, ou recours a des shells alternatifs comme mshta.exe, wscript.exe ou regsvr32.exe pour echapper aux regles de detection focalisees uniquement sur powershell.exe.

Les indicateurs comportementaux les plus fiables pour la detection des macros malveillantes incluent la creation de fichiers dans les repertoires temporaires immediatement apres l'ouverture d'un document Office, les tentatives de connexion DNS et HTTP dans les 30 secondes suivant l'ouverture d'un document provenant d'une source externe, les modifications du registre dans les ruches Run et RunOnce, et la creation de taches planifiees depuis un processus Office. Ces comportements sont detectables via les logs Sysmon correctement configures et ingeres dans le SIEM, en particulier les Event ID 1, 11 et 13.

La regle de detection la plus efficace reste le suivi de la chaine de parentalite sur plusieurs niveaux. Une macro Office legitime ne lance pas de processus fils executant du code reseau. La detection surveille l'arborescence complete des processus enfants des applications Office, pas uniquement les fils directs. Les acteurs sophistiques utilisent des chaines de 3 a 4 processus intermediaires pour eloigner le processus malveillant de l'application Office parente et echapper aux regles basees sur la parentalite directe. Cette technique de multi-hop process injection est documentee dans plusieurs incidents attribues a APT28 et a des acteurs cybercriminels utilisant des frameworks d'acces initial vendus sur les forums.

Politique de gestion des exceptions de macros : gouvernance et tracabilite

La politique de blocage des macros Office par defaut, appliquee nativement dans les versions recentes d'Office 365 depuis les mises a jour de 2022, est la mesure de prevention la plus impactante disponible pour les organisations utilisant la suite Microsoft. Cependant, de nombreuses organisations metier dependent de macros legitimes pour des processus critiques : automatisation de la consolidation financiere, generation de rapports reglementaires, interfaces avec des systemes ERP legacy via Excel VBA. La gestion des exceptions est donc inevitable, et c'est precisement dans ces exceptions que resident les angles morts exploites par les groupes APT et les campagnes de phishing ciblees.

Un processus d'homologation des exceptions de macros documente pour chaque cas : le besoin metier justifiant l'exception et son proprietaire metier identifie, l'identite du fichier (hash SHA-256) et son emplacement reseau autorise (chemin UNC ou URL SharePoint), les utilisateurs ou groupes autorises a executer ce fichier specifique, et la date de revision prevue. Les exceptions non documentees doivent etre revoquees systematiquement. Un audit trimestriel des exceptions actives verifie que chaque exception est toujours justifiee et que les fichiers correspondent aux signatures enregistrees.

La combinaison de la politique de blocage par defaut, du processus d'exception documente, de la detection comportementale dans le SOC, et d'une solution de sandboxing pour l'analyse des pieces jointes constitue la defense complete contre les attaques basees sur les macros Office en 2026. Aucune de ces quatre couches n'est suffisante seule : elles se complementent pour couvrir les differents vecteurs d'attaque et les differentes techniques d'evasion disponibles aux attaquants actuels.

Simulation d'attaque macro Office : valider sa detection avant les attaquants

La validation de l'efficacite du dispositif de detection necessite des simulations d'attaque regulieres. Les outils de simulation d'adversaire comme Atomic Red Team ou MITRE Caldera permettent de rejouer les techniques de macro malveillante documentees dans MITRE ATT&CK sous les tactiques Initial Access et Execution. Chaque simulation genere des alertes que le SOC confronte a ses regles de detection existantes, identifiant les angles morts avant qu'un attaquant reel ne les exploite dans un incident de production.

La simulation doit couvrir les variantes documentees des techniques d'execution via macros : VBA execution directe, XLM macros au format Excel 4.0, macros dans les fichiers DOTM de templates Word, et macros dans les fichiers XLAM de complement Excel. Chaque variante peut bypasser des regles de detection qui ne couvrent qu'un sous-ensemble des formats Office. La couverture de detection doit etre verifiee pour chaque variante, et les regles mises a jour en consequence. Ce processus iteratif d'amelioration de la detection, base sur des tests reels plutot que des assumptions, est ce qui distingue les SOC matures de ceux qui decouvrent leurs angles morts lors d'un incident reel.

Conclusion

La sophistication d'APT28 n'est pas dans son code. Elle est dans sa lecture précise des angles morts que nous entretenons nous-mêmes : exceptions GPO mal gouvernées, télémétrie SIEM bridée pour raisons budgétaires, conviction que "le problème macros est derrière nous". PRISMEX n'exploite pas une nouvelle vulnérabilité technique — il exploite notre dette de gouvernance accumulée depuis des années d'exception management laxiste. La bonne nouvelle : les contre-mesures sont connues, documentées, et faisables en quelques heures. La mauvaise : elles nécessitent une discipline de gouvernance que peu d'organisations ont véritablement instaurée. Reprenez le contrôle de vos exceptions. C'est le meilleur retour sur investissement défensif que vous pouvez faire ce trimestre.