Microsoft : les contrôles ActiveX bientôt bloqués par défaut dans Office et Microsoft 365 Apps
Microsoft s'apprête à bloquer par défaut les contrôles ActiveX dans les versions Windows de Microsoft 365 Apps et Office 2024. Une décision qui marque la fin d'une technologie vieille de près de 30 ans. Voici ce qu'il faut savoir.
ActiveX : une technologie obsolète, des risques bien réels
Introduits en 1996, les contrôles ActiveX ont longtemps permis d'intégrer des objets interactifs dans des documents Word, Excel, PowerPoint ou Visio. Mais, au fil du temps, cette technologie s’est aussi révélée être une porte d’entrée pour les cybercriminels, au même titre que les macros dans Excel. Nous pouvons d'ailleurs citer la propagation du malware TrickBot via des contrôles ActiveX, à titre d'exemple.
Microsoft a pris la décision de désactiver par défaut les contrôles ActiveX. Une décision qui s’inscrit dans une démarche plus large initiée par la firme de Redmond pour durcir la sécurité de ses produits, dans leur configuration par défaut.
En effet, depuis 2018, Microsoft multiplie les mesures pour bloquer les vecteurs d’attaque exploitant les applications de la suite Office : blocage des macros VBA, désactivation par défaut des macros Excel 4.0 (XLM), blocage des add-ins XLL non fiables, et plus récemment, la suppression progressive de VBScript.
Blocage d'ActiveX : la feuille de route de Microsoft
Lorsque ce changement sera déployé, les utilisateurs verront une notification lorsque le document contient un contrôle ActiveX. Cette notification précisera : "CONTENU BLOQUE : le contenu ActiveX dans ce fichier est bloqué." ("BLOCKED CONTENT: The ActiveX content in this file is blocked."), comme le montre l'image ci-dessous. Ainsi, les objets ActiveX ne seront plus exécutés, que ce soit un objet légitime ou malveillant. Le bouton "En savoir plus" ("Learn More") quant à lui renvoie sur cette page.
Zaeem Patel, chef de produit chez Microsoft, précise : "Lorsque ActiveX est désactivé, vous ne pourrez plus créer ou interagir avec des objets ActiveX dans les fichiers Microsoft 365. Certains objets ActiveX existants resteront visibles sous la forme d'une image statique, mais il ne sera pas possible d'interagir avec eux."
Pour les utilisateurs ayant encore besoin de cette fonctionnalité, une réactivation est possible via les paramètres de l'application (Word, Excel, etc.). L'utilisateur doit aller dans les paramètres du Centre de gestion de la confidentialité pour réactiver cette option. À noter que cela aura pour effet de réactiver les contrôles ActiveX sur toutes les applications de la suite Office. Pour les administrateurs, un paramètre de stratégie de groupe est disponible.
Ce changement sera déployé auprès de tous les utilisateurs très prochainement, car il est actuellement intégré à une version du canal "Current (Preview)" de Microsoft 365 Apps : "Cette fonctionnalité est disponible pour tous les utilisateurs du canal bêta et est déployée pour les utilisateurs du canal actuel (Preview) qui utilisent la version 2504 (Build 18730.20030) ou une version ultérieure.", précise Microsoft dans son article. L'entreprise américaine n'évoque pas une intégration dans Office 2021 ou les versions antérieures, alors qu'Office 2024 est concerné.
Qu'en pensez-vous ?
