Table des matières
Les attaques diffusées via des documents Office piégés restent parmi les plus utilisées par les groupes cybercriminels. Les macros intégrées dans des fichiers Word, Excel ou PowerPoint servent de porte d’entrée pour exécuter du code à distance, voler des données ou installer un malware. Même si Google renforce en permanence la sécurité de Gmail, certaines pièces jointes sophistiquées parviennent encore à contourner les filtres.
Reconnaître ce type de menace est devenu indispensable pour éviter les infections silencieuses, souvent déclenchées en quelques secondes après l’ouverture du fichier.
Lorsqu’une macro hostile est intégrée dans un fichier Office, plusieurs signes peuvent apparaître avant même l’ouverture du message. Certains cybercriminels utilisent des noms de fichiers volontairement trompeurs, comme « facture », « relevé », « commande », ou encore des versions compressées pour masquer l’extension réelle.
Sur Gmail, les pièces jointes suspectes se repèrent souvent par des particularités :
Le nom du fichier peut contenir une longue chaîne de caractères, parfois avec des tirets multiples ou des chiffres répétitifs.
La typologie du fichier ne correspond pas au contenu annoncé dans le mail. Par exemple, un supposé devis au format Word alors que l’entreprise utilise d’habitude un PDF.
La mention .docm, .xlsm ou .pptm, formats explicitement compatibles avec l’exécution de macros, doit toujours attirer l’attention. Google affiche parfois un avertissement, mais ce n’est pas systématique selon le degré d’obfuscation utilisé par l’attaquant.
Selon une analyse de Proofpoint, environ 74 pour cent des campagnes observées en Europe utilisant des documents Office piégés misent sur une dissimulation de l’extension ou une confusion artificielle autour du fichier envoyé.
La vigilance commence donc dès la boîte de réception.
Un message contenant un document infecté présente souvent des formulations insistantes destinées à pousser l’utilisateur à ouvrir rapidement la pièce jointe. Les attaquants misent sur l’urgence psychologique.
On observe régulièrement des expressions comme :
demande de traitement immédiat,
notification prétendument envoyée par un service officiel,
pseudo relance administrative.
Ces mails contiennent parfois des fautes de syntaxe, des tournures étranges ou des signatures approximatives, signes supplémentaires d’une tentative frauduleuse.
Certaines campagnes intègrent même des logos réels d’entreprises pour paraître légitimes, mais les adresses d’envoi trahissent souvent une origine douteuse.
Une analyse menée par Check Point montre que près de 58 pour cent des tentatives impliquant des macros reposent sur des modèles d’e-mails imitant des services comptables ou logistiques.
Bien que Gmail applique plusieurs filtres automatiques, certains avertissements sont faciles à ignorer si l’on ne connaît pas leur importance.
Par exemple, lorsqu’un fichier contient du code potentiellement exécutable, Gmail peut afficher une petite mention indiquant que le fichier « pourrait ne pas être sûr ». Ce message apparaît notamment lorsque le document a été créé sur un logiciel Office ancien, souvent utilisé dans les campagnes malveillantes car il permet d’injecter des macros moins détectables.
Le bouton « Afficher dans Google Docs » permet parfois de repérer des anomalies : si le fichier refuse de s’ouvrir dans cet affichage ou génère un message d’erreur, cela peut indiquer la présence de code intégré incompatible avec l’aperçu Google.
Les statistiques internes publiées par Google en 2024 montrent que près de 64 pour cent des pièces jointes Office bloquées automatiquement contenaient des macros masquées ou obfusquées.
Il est possible de vérifier la présence d’une macro malveillante sans jamais ouvrir le fichier dans Word, Excel ou PowerPoint. La meilleure méthode consiste à utiliser un analyseur externe.
Plusieurs solutions permettent une inspection sécurisée :
VirusTotal, qui scanne le fichier avec des dizaines de moteurs antiviraux,
les bacs à sable en ligne capables d’exécuter le document dans un environnement isolé,
les visionneuses web qui bloquent l’exécution de macros.
L’avantage de ces outils est leur capacité à détecter des comportements suspects comme l’appel à PowerShell, la création de fichiers temporaires ou des requêtes réseau vers des serveurs de commande et contrôle.
Selon les données collectées par AnyRun, environ 32 pour cent des documents analysés contenant une macro hostile déclenchent une activité réseau en moins de deux secondes après leur ouverture.
Inspecter le fichier avant de l’exécuter constitue donc une protection efficace.
Quelques réglages permettent de limiter drastiquement les risques.
Activer le mode « Afficher les images uniquement depuis les expéditeurs approuvés » réduit les tentatives d’usurpation visuelle.
Utiliser les libellés intelligents aide à isoler les courriers immobiliers, comptables, RH ou administratifs, afin de détecter plus facilement les anomalies dans les habitudes d’envoi.
Gmail permet également d’ajouter des filtres personnalisés pour tout message contenant une pièce jointe Office en .docm, .xlsm ou .pptm, ce qui donne la possibilité de les rediriger automatiquement vers un dossier de quarantaine interne.
Une étude menée auprès de 4200 utilisateurs montre que la mise en place de règles de filtrage diminue de 43 pour cent les ouvertures accidentelles de documents infectés dans les contextes professionnels.
Certains cybercriminels utilisent des méthodes d’obfuscation avancées pour contourner les protections standard. Ils dissimulent le code dans des modules invisibles, encryptent les lignes VBA ou insèrent des chaînes de caractères sans signification pour tromper les moteurs de détection.
D’autres approches reposent sur des leurres visuels dans le document lui-même, comme de fausses instructions demandant à l’utilisateur d’activer manuellement les macros « pour afficher le contenu complet ». Cette incitation est l’un des signes les plus fréquents et l’un des plus efficaces en termes d’ingénierie sociale.
Une analyse de Fortinet révèle que près de 80 pour cent des macros hostiles comportent un leurre de ce type.
Dès qu’un document vous demande d’activer quelque chose pour afficher un prétendu contenu masqué, il doit être considéré comme dangereux.