Microsoft a détecté une vulnérabilité dans la signature des projets macro VBA Office (Visual Basic pour Applications Office). Cette vulnérabilité peut permettre à un utilisateur malveillant de falsifier un projet VBA signé sans invalider sa signature numérique. Par conséquent, nous recommandons aux utilisateurs dʼappliquer les mises à jour de sécurité répertoriées dans Microsoft Common Vulnerabilities and Exposures CVE-2020-0760.

Pour renforcer la sécurité de la signature de projet macro VBA Office, Microsoft fournit une version plus sécurisée du modèle de signature de projet VBA : la signature V3. La signature V3 est disponible dans les produits suivants :

Nous recommandons aux organisations dʼappliquer la signature V3 à toutes les macros afin dʼéliminer le risque de falsification.

Par défaut, pour garantir la compatibilité descendante, les fichiers VBA qui ont des signatures existantes continueront de fonctionner et les fichiers signés à lʼaide de la signature V3 pourront être ouverts et exécutés dans des versions antérieures dʼOffice ou dans des clients Office non mis à jour. Toutefois, nous recommandons aux administrateurs de mettre à niveau les signatures VBA existantes vers la signature V3 dès que possible après avoir mis à niveau Office vers les versions répertoriées. Une fois que les administrateurs ont vérifié quʼil nʼexiste aucune perte de compatibilité pour lʼorganisation, ils peuvent désactiver les anciennes signatures VBA en activant le paramètre de stratégie Faire confiance uniquement aux macros VBA qui utilisent les signatures V3. Pour plus dʼinformations sur ce paramètre de stratégie, voir la section « Activer le paramètre de stratégie : Faire confiance uniquement aux macros VBA qui utilisent les signatures V3 ».

Mettre à niveau les fichiers VBA signés vers la signature V3

Les administrateurs peuvent utiliser les rubriques suivantes pour mettre à niveau des fichiers de signatures VBA existants vers la signature V3.

Créer un inventaire des fichiers VBA signés

Si vous avez déjà un inventaire de tous les fichiers VBA signés existants, vous pouvez ignorer cette section. Si ce nʼest pas le cas, utilisez Readiness Toolkit for Office add-ins and VBA pour créer un inventaire des fichiers VBA signés existants qui doivent être mis à niveau. Lʼoutil génère un rapport qui répertorie les fichiers à mettre à niveau avec leur emplacement. Pour plus dʼinformations sur Readiness Toolkit, voir Utiliser Readiness Toolkit pour évaluer la compatibilité des applications pour les applications Microsoft 365.

  1. Téléchargez Readiness Toolkit for Office add-ins and VBA.

  2. Exécutez PowerShell ou ouvrez une fenêtre dʼinvite de commandes en tant quʼadministrateur, puis accédez au dossier dʼinstallation de Readiness Toolkit :

    C:\Program Files (x86)\Microsoft Readiness Toolkit for Office

  3. Exécutez la commande suivante pour analyser un dossier dans lequel se trouvent vos fichiers VBA (par exemple, C:\Test_ToolKit) :

    ReadinessReportCreator.exe -sigscan -p C:\Test_ToolKit -r -output C:\output

    Exécutez la ligne de commande pour analyser un dossier

    Après lʼanalyse, un fichier de résultats JSON est créé dans le dossier C:\output.

  4. À partir du dossier dʼinstallation de Readiness Toolkit, exécutez le fichier ReadinessReportCreator.exe pour ouvrir le fichier de résultats.

    Capture dʼécran de lʼexécution de ReadinessReportCreator.exe

    Dans le fichier de résultats, recherchez tous les fichiers de macros non sécurisés que vous devez mettre à niveau vers la signature V3.

    Capture dʼécran du fichier de résultats

    Capture dʼécran de signatures de macros non sécurisées

Utiliser lʼéditeur VBA pour signer à nouveau les fichiers VBA 

Si vous avez des certificats privés, utilisez lʼéditeur Visual Basic pour Applications (VBA) fourni dans une application Office pour signer à nouveau les fichiers VBA.

  1. Pour signer à nouveau un fichier VBA, appuyez sur Alt + F11 depuis le fichier pour ouvrir lʼéditeur VBA.

  2. Pour remplacer une signature existante par la signature V3, sélectionnez Outils > Signature numérique. La boîte de dialogue Signature numérique sʼouvre.

    Remarque : Pour signer un projet VBA, la clé privée doit être installée correctement. Pour plus dʼinformations, voir Signer numériquement votre projet macro.

    Capture dʼécran de la sélection de la signature numérique

  3. Sélectionnez Choisir pour choisir la clé privée de certificat à utiliser pour signer le projet VBA, puis sélectionnez OK.

    Sélectionner un certificat

  4. Pour générer les nouvelles signatures, enregistrez à nouveau le fichier. Les nouvelles signatures numériques remplacent les signatures précédentes.

Utiliser SignTool pour signer à nouveau des fichiers VBA

SignTool dans le SDK Windows 10 peut vous aider à signer à nouveau les fichiers VBA via une ligne de commande. Pour traiter le travail de re-signature par lots par rapport à la liste dʼinventaire qui est identifiée dans la section « Créer un inventaire des fichiers VBA signés », vous pouvez intégrer SignTool à vos propres outils administrateur.

Remarque : Pour le moment, SignTool ne prend pas en charge Microsoft Access.

Pour signer à nouveau des fichiers VBA à lʼaide de SignTool, suivez ces étapes :

  1. Téléchargez et installez le SDK Windows 10.

  2. Téléchargez Officesips.exe à partir des Packages dʼinterface dʼobjet Microsoft Office pour la signature numérique de projets VBA.

  3. Pour signer des fichiers et vérifier les signatures dans les fichiers, inscrivez Msosip.dll et Msosipx.dll, puis exécutez Offsign.bat. Les étapes détaillées sont incluses dans le fichier Readme.txt du dossier dʼinstallation dʼOfficesips.exe.

Remarque : Utilisez la version x86 de SignTool dans le dossier « C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86 » lorsque vous exécutez Offsign.bat.

Activer le paramètre de stratégie : « Faire confiance uniquement aux macros VBA qui utilisent les signatures V3 »

Une fois que vous avez terminé la mise à niveau vers les signatures V3, nous vous recommandons dʼactiver le paramètre de stratégie Faire confiance uniquement aux macros VBA qui utilisent les signatures V3 pour vous assurer que seuls les fichiers signés par une signature V3 sont fiables.

Ce paramètre de stratégie est disponible dans la stratégie de groupe ou le service de stratégies cloud Office. Il se trouve dans User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Si ce paramètre est activé, seule la signature V3 sera considérée comme valide quand Office validera la signature numérique dans les fichiers. Les signatures au format précédent dans les fichiers VBA seront ignorées.

Analyser lʼeffet de lʼapplication du paramètre de stratégie à lʼaide du conseiller en stratégie de sécurité

Le conseiller en stratégie de sécurité est disponible dans le centre dʼadministration des applications dans Microsoft 365 version 2103 (version 16.0.13824.10000) et versions ultérieures du canal actuel. Il fournit des informations sur lʼeffet de sécurité et de productivité de lʼapplication du paramètre de stratégie Faire confiance uniquement aux macros VBA qui utilisent les signatures V3.

Pour analyser lʼeffet de productivité, les administrateurs peuvent examiner le volet Détails de la recommandation pour voir quels utilisateurs sont protégés lorsque ce paramètre de stratégie est appliqué. Ces informations peuvent aider les administrateurs à prendre des décisions éclairées par les données en mesurant les avantages et les coûts liés à lʼapplication du paramètre de stratégie.

Voir lʼimpact de lʼapplication de paramètres de stratégie avec SPA

En outre, les administrateurs peuvent utiliser un déploiement en un clic pour ce paramètre de stratégie. Le conseiller en stratégie de sécurité utilise le service de stratégies cloud Office pour appliquer les paramètres de stratégie Office pour Microsoft 365 Apps for enterprise directement à partir du cloud. Cela fonctionne pour les appareils gérés et non gérés. Après avoir déployé le paramètre de stratégie à lʼaide du service de stratégies cloud Office, les administrateurs peuvent consulter à nouveau le volet des détails de la recommandation pour surveiller lʼincidence du paramètre de stratégie sur les utilisateurs.

Pour plus dʼinformations sur lʼactivation du conseiller en stratégie de sécurité dans votre environnement, voir Présentation du conseiller en stratégie de sécurité pour Microsoft 365 Apps for enterprise.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions pour vos commentaires.

×