* [Blog](https://www2.paloaltonetworks.com/blog)
* [Palo Alto Networks](https://www2.paloaltonetworks.com/blog/corporate/)
* [Non classifié(e)](https://www2.paloaltonetworks.com/blog/category/non-classifiee/?lang=de)
* Synthèse sur les cybermen...

# Synthèse sur les cybermenaces -- Documents Office : le danger ne saura pas nous dissuader

[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2018%2F10%2Fsynthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader%2F%3Flang%3Dfr)  
[](https://twitter.com/share?text=Synth%C3%A8se+sur+les+cybermenaces+%E2%80%93+Documents+Office+%3A+le+danger+ne+saura+pas+nous+dissuader&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2018%2F10%2Fsynthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader%2F%3Flang%3Dfr)  
[](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww2.paloaltonetworks.com%2Fblog%2F2018%2F10%2Fsynthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader%2F%3Flang%3Dfr&title=Synth%C3%A8se+sur+les+cybermenaces+%E2%80%93+Documents+Office+%3A+le+danger+ne+saura+pas+nous+dissuader&summary=&source=)  
[](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www2.paloaltonetworks.com/blog/2018/10/synthese-sur-les-cybermenaces-documents-office-le-danger-ne-saura-pas-nous-dissuader/?lang=fr&ts=markdown)  
\[\](mailto:?subject=Synthèse sur les cybermenaces – Documents Office : le danger ne saura pas nous dissuader)  
Link copied  
By [Liat Hayun](https://www.paloaltonetworks.com/blog/author/liat-hayun/?lang=fr&ts=markdown "Posts by Liat Hayun")  
Oct 16, 2018  
7 minutes  
[Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

Nous utilisons quasiment tous Microsoft Office. Supports professionnels, reçus électroniques, contrats de location... les documents Office nous sont aussi utiles que familiers. Cela explique entre autre pourquoi nous sommes très enclins à ouvrir des pièces jointes d'e-mails sous ce format, même lorsqu'elles proviennent de sources peu fiables. Conscients de cette réalité, les cybercriminels ont fait des fichiers Microsoft Office un de leurs principaux vecteurs d'attaque.

Cet article revient sur 5 manières dont les documents Office sont exploités pour compromettre des terminaux Windows. Certaines de ces techniques ont déjà fait l'objet d'une publication de notre part, et d'autres non.

**Macros**

Les macros représentent le moyen le plus simple de convertir un document Office en arme d'attaque. Les applications Office comportent un moteur intégré capable d'exécuter des scripts VBA (Visual Basic for Applications). Lorsque les macros sont activées, ces scripts peuvent s'exécuter immédiatement à l'ouverture d'un document (sans aucune action de l'utilisateur) et ainsi propager un code malveillant dans le système. Si l'exécution n'est pas automatique, une fenêtre \<\< pop-up \>\> apparaît pour demander à l'utilisateur d'activer les macros. Cette fenêtre fait partie des mécanismes de sécurité mis en place par Microsoft pour réduire les risques associés aux macros. De plus, Microsoft impose l'extension .docm (au lieu de .docx) aux nouveaux documents Word contenant des macros. Toutes ces mesures n'empêchent malheureusement pas les utilisateurs de se faire piéger. Résultat : les macros restent des vecteurs d'attaque privilégiés -- aussi bien pour propager des ransomwares comme ++[Emotet](https://autofocus.paloaltonetworks.com/#/tag/Unit42.Emotet)++ que pour lancer des attaques sophistiquées comme cette ++[campagne Sofacy](https://www.paloaltonetworks.com/blog/2018/02/unit42-sofacy-attacks-multiple-government-entities/)++.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2018/10/WordDocImage1zhCN.png)

Figure 1 : Document infecté par Sofacy, avant et après activation du contenu

Dans cet exemple, les attaquants ont eu recours à des techniques d'ingénierie sociale pour inciter les utilisateurs à activer les macros (pour voir tout le contenu du document) et ainsi désactiver les mécanismes de sécurité de Microsoft. Or, le contenu du document était déjà présent avant l'activation des macros. Les attaquants l'avaient simplement mis en blanc pour le rendre invisible aux utilisateurs.

**Fichiers Flash intégrés**

Les documents Office peuvent également être intégrés à des objets externes, tel que les fichiers Adobe Flash. Si le logiciel chargé de traiter ces objets comporte une vulnérabilité, les attaquants pourront les intégrer au contenu Adobe Flash du document Office et exploiter la vulnérabilité. C'est le cas de ++[CVE-2018-4878](https://www.paloaltonetworks.com/blog/2018/02/unit42-traps-prevents-adobe-flash-player-zero-day/)++, une vulnérabilité zero-day d'Adobe Flash Player exploitée en incorporant des fichiers SWF malveillants dans des documents Excel. Dans ce type d'attaque, le fichier Excel infecté contient un objet Adobe Flash capable de déclencher la vulnérabilité Flash et d'exécuter le code shell intégré.

**Éditeur d'équations Microsoft**

Comme avec les contenus Adobe Flash, il est possible d'insérer des équations dans un document Office. Ce dernier sera analysé par l'éditeur d'équations Microsoft, un programme simple de création d'équations mathématiques.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2018/10/WordDocImage2zhCN.png)

Figure 2 : Éditeur d'équations Microsoft

Comme dans l'exemple précédent, les vulnérabilités de l'éditeur d'équations peuvent être exploitées depuis un document Office malveillant. Nous l'avons récemment vu avec les vulnérabilités ++[CVE-2017-11882](https://www.paloaltonetworks.com/blog/2017/12/unit42-analysis-of-cve-2017-11882-exploit-in-the-wild/)++ et ++[CVE-2018-0802](https://www.paloaltonetworks.com/blog/2018/01/unit42-traps-prevents-microsoft-office-equation-editor-zero-day-cve-2017-11882/)++ . Dans les deux cas, la méthode était la même : les attaquants se servaient des failles de l'éditeur d'équations pour exécuter du code à distance lorsqu'un utilisateur ouvrait un document Office. Notre équipe de recherche sur les menaces (Unit 42) a identifié d'autres vulnérabilités similaires et encore non exploitées liées à l'éditeur d'équations Microsoft (par ex. ++[CVE-2018-0807](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0807)++ et ++[CVE-2018-0798](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0798)++).

Remarque : l'éditeur d'équations Microsoft s'exécute comme un processus séparé (eqnedt32.exe). Par défaut, les mesures de sécurité spécifiques à Microsoft Office (EMET, Windows Defender Exploit Guard, etc.) ne s'appliquent donc pas car elles ne concernent que les processus Microsoft Office (comme winword.exe).

**Objets OLE et gestionnaires HTA**

Les objets OLE et les gestionnaires HTA servent à ajouter des références vers d'autres documents à l'intérieur de documents Office. Pour compromettre un terminal, les attaquants procèdent comme suit :

1. Un lien OLE2 est inséré à un document Microsoft Word.
2. À l'ouverture du document, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant pour récupérer un fichier HTA contenant un script malveillant.
3. Le processus winword.exe recherche alors le gestionnaire correspondant via un objet COM, ce qui conduit l'application Microsoft HTA (mshta.exe) à charger et exécuter le script malveillant.

Cette technique a été utilisée pour exploiter ++[CVE-2017-0199](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)++ , une vulnérabilité Microsoft Office/WordPad d'exécution de code à distance. Corrigée par Microsoft en septembre 2017, elle a été exploitée à de nombreuses reprises comme lors de la ++[campagne OilRig](https://www.paloaltonetworks.com/blog/2017/10/unit42-oilrig-group-steps-attacks-new-delivery-documents-new-injector-trojan/)++.

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2018/10/WordDocImage3zhCN.png)

Figure 3 : les fichiers RTF apparaîtront comme des fichiers Word standards

En plus des failles OLE et HTA, les attaquants se sont rendus compte que les fichiers RTF pouvaient également exécuter des objets OLE de type mime \<\< text/html \>\> à l'aide du moteur MSHTML. Autrement dit, les fichiers RTF présentent la même surface d'attaque qu'Internet Explorer.

Connue sous le nom de ++[CVE-2018-8174](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8174)++, cette vulnérabilité permet aux cybercriminels d'exécuter du code HTML, JavaScript ou VBScript de manière arbitraire. À l'image des codes qui s'exécutent depuis Internet Explorer, un code exécuté de cette manière est \<\< isolé \>\>, c'est-à-dire qu'il ne peut pas lancer de nouveaux processus, écrire sur le système de fichiers, etc. Toutefois, les attaquants peuvent se servir de cette faille pour en exploiter d'autres (par ex. une vulnérabilité UAF de corruption de la mémoire dans le moteur VBScript) et exécuter du code arbitrairement dans une application Word pour prendre le contrôle du système.

**Conclusion**

Si elles prolifèrent déjà depuis plus de dix ans, les attaques basées sur les documents sont récemment montées d'un cran, tant en nombre qu'en complexité. Cette tendance peut s'expliquer par la difficulté croissante à utiliser les exploits de navigateurs, en raison du tour de vis opéré par leurs développeurs. Quoi qu'il en soit, les entreprises doivent savoir déjouer ces techniques d'attaque.

**Prévention**

Outil de protection avancée des terminaux, Palo Alto Networks Traps propose diverses méthodes de prévention des exploits et des malwares :

1. Examen des macros -- Traps s'appuie sur le service de Threat Intelligence WildFire et des fonctions locales de machine learning pour analyser chaque document Word en quête d'éventuelles macros malveillantes. Il peut également empêcher les utilisateurs d'ouvrir des fichiers infectés.
2. Prévention des exploits -- Grâce à ses fonctions avancées, Traps empêche les tentatives d'exécution de code shell malveillant sur les terminaux.
3. Surveillance par défaut des applications Office -- Traps exploite cette fonction pour éviter un détournement malveillant des processus légitimes intégrés.

*** ** * ** ***

## Related Blogs

### [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

[#### KI-gestützte Sicherheit mit Palo Alto Networks und IBM](https://www2.paloaltonetworks.com/blog/2025/08/ki-gestuetzte-sicherheit-mit-palo-alto-networks-und-ibm/?lang=de)

### [Must-Read Articles](https://www.paloaltonetworks.com/blog/security-operations/category/must-read-articles/?ts=markdown), [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown), [Product Features](https://www.paloaltonetworks.com/blog/security-operations/category/product-features/?ts=markdown)

[#### A Deep Dive Into Malicious Direct Syscall Detection](https://www2.paloaltonetworks.com/blog/security-operations/a-deep-dive-into-malicious-direct-syscall-detection/)

### [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

[#### SEUL Cortex signe le doublé 100 % de protection et 100 % de détection dans l'évaluation MITRE Engenuity 2023](https://www2.paloaltonetworks.com/blog/2023/11/mitre-engenuity-attck-evaluations-results/?lang=fr)

### [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

[#### IoT médical : quand la sécurité IoT devient un enjeu vital](https://www2.paloaltonetworks.com/blog/2022/12/iot-medical-quand-la-securite-iot-devient-un-enjeu-vital/?lang=fr)

### [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

[#### Les 3 principaux avantages du SD-WAN nouvelle génération](https://www2.paloaltonetworks.com/blog/2021/08/benefits-of-next-generation-sd-wan/?lang=fr)

### [Non classifié(e)](https://www.paloaltonetworks.com/blog/category/non-classifiee/?lang=de&ts=markdown)

[#### Prisma Access est le premier service cloud permettant de sécuriser les utilisateurs distants](https://www2.paloaltonetworks.com/blog/2021/08/prisma-access-leading-cloud-service-secure-remote-users/?lang=fr)

### Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.
![spinner](https://www2.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up  
Please enter a valid email.  
By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.  
This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply.  
{#footer} {#footer}

## Products and Services

* [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown)

* [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown)

* [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown)

* [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown)

* [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown)

* [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown)

* [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown)

* [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown)

* [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown)

* [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown)

* [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown)

* [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown)

* [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown)

* [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown)

* [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown)

* [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown)

## Company

* [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown)
* [Careers](https://jobs.paloaltonetworks.com/en/)
* [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown)
* [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown)
* [Customers](https://www.paloaltonetworks.com/customers?ts=markdown)
* [Investor Relations](https://investors.paloaltonetworks.com/)
* [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown)
* [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown)

## Popular Links

* [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown)
* [Communities](https://www.paloaltonetworks.com/communities?ts=markdown)
* [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown)
* [Event Center](https://events.paloaltonetworks.com/)
* [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center)
* [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown)
* [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown)
* [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown)
* [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown)
* [Tech Docs](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown)
* [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown)
* [Documents](https://www.paloaltonetworks.com/legal?ts=markdown)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown)
* [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* EN  
  Select your language