Cet important changement de politique avait été annoncé en février, pour une mise en application en juin. Nous sommes en juillet, et Office active toujours par défaut les macros VBA par défaut. Pourquoi ?
Parce que la mesure, largement applaudie dans la communauté de la cybersécurité, a été discrètement écartée, comme l’a noté il y a quelques jours BleepingComputer. TechCrunch, de son côté, signale nombre de commentaires mécontents de la décision, notamment sur Reddit.
De quoi pousser Microsoft à communiquer, par la plume de Kellie Eickmeyer, directrice produit. Dans un billet de blog, elle insiste : ce changement n’est que temporaire, à la suite de retours, sans plus de précisions. La responsable n’a pas donné de nouvelle date.
ESET note de son côté que le monde des malwares commence déjà à s’adapter, notamment Emotet. Ce botnet, utilisé principalement pour l’envoi de spam, commence ainsi à remplacer les documents Word par des raccourcis fichiers.
Commentaires (16)
#1
Je trouve dommage d’interdire toutes les macros car certaines fonction posent problème. La majorité des macros que j’ai écrites ne font que manipuler des cellules et leur données, et ceci ne pose aucun problème de sécurité. Et s’il faut supprimer les quelques imports de données / enregistrement de fichier, on peut trouver des solutions nécessitant juste quelques clics plutôt que de tout interdire.
Les navigateurs n’ont pas interdit JavaScript ou les extensions à causes des problèmes de sécurité, ils ont juste restreint leurs possibilités d’accès au reste de l’ordinateur pour supprimer les attaques possible. Ça a fait râler car certaines choses ne sont plus possible, mais c’est toujours beaucoup mieux que rien.
#2
je rêve du jour où les tableurs seront juste les front-end d’une base de données.
Autant des formules simples dans le tableur, je comprend l’utilité (mise en forme…)
Autant les formules complexes et, pire, les macros ca devrait être remplacé par du code qui manipule la database (et pas le tableur).
#2.1
t’a jamais fait de la macro au delà de l’enregistreur de macro ?
Ca va bien plus loin que ca.
C’est déjà bloqué par défaut depuis plus de 15ans, avec une invite à les débloquer au lancement du fichier.
La brève n’est pas précise, il s’agit ici des “macros provenant d’internet”, donc d’un fichier fraichement téléchargé, jamais ouvert, et comportant des macros.
#2.2
J’ai dit à un développeur, y’a pas si longtemps que le VBA était mort. Ça lui a pas plu, surtout que c’était son cœur de métier.
Toutefois, je reste confiant sur le fait qu’on pourra gérer bon nombre de cas juste avec le front. Les nouvelles fonctionnalités Office 365 et power query donne la tendance.
Ça ne remplacera jamais les outils de BI ou SAS, mais ce n’est pas la même cible, le même besoin ni le même cycle de production.
#2.3
En soit le VBA est mort oui, vu qu’ils implémentent désormais leur Framework sous javascript pour être compatible PC, Mac, Mobile, Web ^^
Certains outils remplacent les macros en terme d’analyse de données, mais ca les remplacera difficilement quand il s’agit de faire du mapping sur des documents “clients” ou des interfaces utilisateurs plus spécifiques qu’un simple tableau, voire des ventilations en plusieurs fichiers. J’utilise Power Automate dans O365, c’est pas tout a fait le même besoin, de mon point de vue ils sont complémentaires.
Tu serais étonné de voir à quel point on remplace encore aujourd’hui des outils BI ou SaaS existant par des exports sous Excel ou Access pour justement aller plus loin. Et c’est pas dans des petites sociétés, mais des multinationales.
#2.5
Je suis lead tech VBA (dans ce domaine depuis 13 ans) en freelance, on m’appelle tous les jours pour du boulot …
Dire que VBA est mort est un peu prématuré, effectivement il est en pente … remplacé principalement par du python ou du C#.
Il ne faut pas voir le VBA uniquement comme l’automate d’Office, tu peux te connecter avec sur tout et n’importe quoi, des api web, du json, n’importe quelle bdd ou système de BI (Cognos, BO, etc …).
Il reste toujours pas mal de projets où il sera difficile d’y mettre autres choses.
Pour info le VBA est présent quasi sur tout le cac40.
#2.4
ce qui est bizarre car depuis office 2010 ( ou 2013 ) tous documents provenant d’internet a déjà un blocage par défaut pas que des macros
et vu le nombre de cryptolocker qui sont passé par Word en 2015 / 18 , les seuls clients où qui en ont chopé sont ceux où l’éditeur d’un logiciel métier dit “ ACCEPTEZ TOUT OUVREZ TOUT “
#3
Il y a bien un reglage pour ca, non ? Genre demander à chaque fois si on active la macro ou pas …
Où est le problème ? Désactiver les grosses brèches de sécurité par défaut, ca me semble logique. Ce qui me semble illogique c’est de ne clairement pas l’avoir fait bien avant.
#4
malheureusement si. J’ai eu la faiblesse d’écrire des trucs en VBA, et aussi de maintenir des trucs horribles en VBA avec des formulaires et de l’import/export dans des fichiers. Au final, j’ai viré le code VBA et écrit un script VBS qui fait la même chose (depuis la ligne de commande).
Si je devais le refaire ajd j’opterais surement pour le faire en C#, mais a l’époque VBS dans notepad c’était largement suffisant.
#4.1
Je compatis… J’avoue que vbs m’a aussi sauvé la vie à certains moments. Après on peut faire de belles choses sans prise de tête !
C# c’est top pour manipuler les fichiers office, mais malheureusement on n’a pas toujours la possibilité de l’utiliser quand on bosse sur l’infra du client…
#5
Pas vraiment étonné, ça marche bien Excel en direction financière :)
#6
Je connais même quelqu’un qui fait de la sûreté hydraulique en calculant des débits et des dynamiques de plans d’eau avec des fichiers sous Excel de plusieurs millions de lignes… Et ça marche !
#7
déjà le mode protégé existe depuis au moins Office 2013 ( peut être 2010 j’ai plus trop de souvenirs ) pour les fichiers venant .. d’un réseau , Outlook et Internet . Ce qui oblige à cliquer sur “Activer la modification”
ensuite il y a pour les macros par défaut l’option cochée “ Désactiver toutes les macros avec notification “
Donc maintenant ils veulent bloquer en mode ” on bloque tu as pas la possibilité de débloquer d’un clic”
est ce mal ?
edit : j’ai eu du mal a comprendre la brève .. faut vraiment lire que l’autre papier en anglais pour comprendre la totalité de ce “blocage” à se demander si on ferait pas mieux de s’abonner aux autres journaux technique ..
#8
Il faudrait déjà bien séparer les usages et se mettre en tête que VBA n’est pas présent qu’avec Excel. J’ai fait de gros outils sous word pour permettre la rédaction efficace et gérer la réparation des styles qui foutent le camp au moindre collage à cause des fondations dégueulasses de word et de son format docx (le fond n’existe pas dans word, tout est de la forme contrairement au html).
Bref, s’il s’agit d’automatiser des choses dans des outils office, c’est juste le seul langage accessible quand office tourne. J’ai à ce titre créé des ruban custom et programmé pas mal d’outils et j’aurais bien aimé pouvoir le faire dans d’autres langages mais c’est comme ça.
Après, l’utilisation d’excel pour faire du BI viens sûrement (c’est le cas dans ma boîte), du fait que les DSI ambitionnent de réduire les machines utilisateurs à faire tourner exclusivement un navigateur Internet (chez nous, seul IE était autorisé il y a 6 mois…). Dans ma boîte, les outils BI sont du tier3 donc rigoureusement interdits sur des postes utilisateurs…
Donc, même si pas mal de langages et d’outils sont bien mieux adaptés, les gens qui souhaitent juste pouvoir travailler avec leur données en sont réduits à utiliser le seul outil autorisé par leur DSI: Excel.
Des quantités de gens passent ainsi un temps fou à importer les exports csv, txt ou autre des bases de données de production autistes, dans Excel à grand renfort de VBA et en arrivent même à réinventer le SQL en VBA. C’est une chose que je me suis moi-même résigné à faire et j’ai bien conscience que c’est une aberration technique.
D’un autre côté et pour en revenir à excel, une petite fonction VBA peut être bien plus claire et maintenable qu’une formule compliquée et longue comme le bras. VBA permet de faire des choses tout à fait valables.
Il faut éviter d’être dogmatique sur le sujet: merci de ne pas jeter le bébé avec l’eau du bain. VBA n’est peut être pas le langage le plus à la mode et le plus moderne mais il n’est pas à jeter aux orties pour autant et garde un intérêt pour certaines choses.
Sinon, côté sécu, la réaction de MS est juste HIÉ: tout document issu d’un partage réseau est considéré comme venant d’Internet. Tout le monde prend donc l’habitude de fermer la boîte de dialogue super chiante sans même la lire.
Quand je déplace un fichier txt dans un répertoire réseau et que windows me dit que ce fichier peut être dangereux, j’ai juste envie de filer des claques au crétin qui à pondu cela.
Même les fichiers word et excel sans macros sont traités comme des virus ultra dangereux, c’est du harcèlement à ce niveau. Cela dit, si c’est pour pousser les gens à passer sur Linux, c’est bien joué.
#9
La polyvalence de l’outil en fait sa dangerosité, mais Powershell en fait autant mais est moins susceptible d’être utilisé et donc ouvert sans contrôle par le quidam moyen donc il va être proscrit des produit MS.
Soit, il n’empêche qu’effectivement, c’est un produit puissant qui a permis de développer des outils permettant d’éviter d’acheter des produits commerciaux souvent très chers.
Je m’en suis même servit pour développer l’interface Windows d’une application CICS pour ceux à qui ça parle :-)
#10
MSO 2010 avait déjà le mode protégé, je confirme