Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 1 : sécurité d'Office 2007
Paru le 11 novembre 2007
Une configuration bureautique sécurisée est une composante stratégique essentielle de l'entreprise. Toutefois, avant de planifier et de déployer une configuration bureautique sécurisée pour Microsoft® Office 2007, vous devez :
bien comprendre les principes de sécurité sous-jacents qui constituent la base du modèle de sécurité d'Office 2007 ;
prendre connaissance des nouveautés et des modifications d'Office 2007 en matière de sécurité ;
connaître les menaces liées à la sécurité et à la confidentialité, susceptibles d'affecter Office 2007 ;
vous représenter à quoi ressemble un environnement Office 2007 sécurisé.
Sur cette page
Principes de sécurité sous-jacents
Nouveautés et modifications d'Office 2007
Risques et menaces
Se représenter à quoi ressemble un environnement Office 2007 sécurisé
Principes de sécurité sous-jacents
Avant Office 2007, la mise en œuvre d'une configuration Office sécurisée limitant les risques de l'entreprise entraînait le plus souvent une réduction non négligeable des fonctionnalités. Vous pouviez, par exemple, réduire la surface d'attaque des applications bureautiques en désactivant des fonctionnalités potentiellement dangereuses, telles que les contrôles Microsoft ActiveX®, les compléments et les macros VBA (Microsoft Visual Basic® for Applications), mais en général, la perte de ces fonctionnalités était synonyme de baisse de productivité et avait un effet négatif sur les performances globales de votre entreprise.
Confrontées à ce problème, la plupart des entreprises choisissaient d'autoriser les travailleurs de l'information à prendre des décisions de sécurité critiques. Si un document contenait des contrôles ActiveX ou des macros provenant d'une source inconnue, l'utilisateur était invité à activer ou non ces contrôles ou ces macros. Sans réponse de sa part, il n'était pas autorisé à accéder au document. Cette approche n'était certes pas parfaite, mais elle offrait un mécanisme qui permettait d'atténuer les menaces liées à la sécurité, sans affecter considérablement les fonctionnalités des applications. Cependant, il arrive que les utilisateurs ignorent les avertissements de sécurité afin de pouvoir accéder aux documents et effectuer leur travail. Ils risquent alors d'activer des contrôles ActiveX ou des macros susceptibles de causer de graves problèmes à leur entreprise.
Pour surmonter ces difficultés, le modèle de sécurité d'Office 2007 a été conçu conformément aux quatre principes fondamentaux suivants :
Rendre les fonctionnalités des applications plus sûres par défaut.
Réduire le nombre de décisions de sécurité critiques autant que possible et fournir à l'utilisateur des informations faciles à comprendre afin de l'aider dans sa décision.
Préserver la productivité de l'utilisateur en atténuant les menaces sans affecter considérablement les fonctionnalités des applications.
Fournir un modèle de sécurité souple, pouvant être modifié afin de répondre à des situations spécifiques, et offrir la possibilité de contrôler de façon dynamique ce modèle à l'aide d'outils et de méthodes standard.
Ces principes constituent la base des objectifs de sécurité d'Office 2007 — optimiser la protection et la productivité, et réduire le coût total de possession (TCO).
Des fonctionnalités plus sûres par défaut
La sécurité est l'une des principales priorités d'Office 2007. Cette nouvelle version d'Office cherche à garantir que les technologies mises en œuvre dans le produit résistent aux attaques et que la configuration par défaut des applications est plus sûre que dans les versions précédentes de Microsoft Office.
Le fait que certaines fonctionnalités, bien que pratiques, risquent d'être exploitées par un code ou des utilisateurs malveillants est inclus dans ce principe. Par ailleurs, certaines fonctionnalités risquent d'autoriser les utilisateurs à entreprendre inconsciemment des actions dangereuses. Bon nombre de ces fonctionnalités sont configurées de façon à ce que la protection soit prioritaire, et la fonctionnalité, secondaire.
Par exemple, les documents et les messages électroniques contiennent souvent des liens vers des images stockées sur des ordinateurs distants. Grâce à cette fonctionnalité, la mise à jour d'images est simple et les documents et messages électroniques sont moins lourds, ce qui réduit la demande d'espace disque et de bande passante réseau. Cependant, les personnes qui envoient des courriers électroniques indésirables ainsi que d'autres personnes malveillantes peuvent utiliser les images liées (appelées « balises Web ») pour confirmer la validité des adresses électroniques et obtenir les adresses IP des ordinateurs. Pour régler ce problème, dans Office 2007 les images liées sont bloquées par défaut. Toutefois, les utilisateurs peuvent quand même ouvrir les messages électroniques et documents contenant des images liées. Ils disposent d'un accès complet au texte. Cette fonctionnalité optimise la protection et la productivité.
Interrompre le moins possible l'utilisateur
Dans les modèles de sécurité précédents, les utilisateurs devaient estimer les risques encourus et limiter les menaces de sécurité potentielles. Aujourd'hui, Office 2007 est conçu de sorte que l'utilisateur prenne le moins possible de décisions relatives à la sécurité. Ce principe modifie la gestion des menaces de sécurité, tant pour les utilisateurs que pour les applications. Ces trois modifications essentielles sont les suivantes :
Le nombre de décisions de sécurité devant être prises par l'utilisateur est réduit.
Dans les cas où une menace de sécurité présente des risques élevés et où l'interaction de l'utilisateur est indispensable, les messages d'avertissement fournissent des informations claires dont l'utilisateur a besoin pour prendre une décision.
Dans les cas où une action de l'utilisateur est requise, des invites et des informations sont demandées ou fournies au moment et dans le contexte les plus opportuns. Par exemple, les utilisateurs n'ont plus besoin de répondre aux invites de sécurité à chaque fois qu'ils ouvrent un document contenant des macros provenant d'une source non approuvée ou inconnue. Bien que les macros provenant de sources non approuvées ou inconnues soient automatiquement désactivées par défaut, le processus de notification ne requiert pas une décision de sécurité de l'utilisateur avant que celui-ci ne travaille sur le document. En effet, les notifications relatives aux macros s'affichent dans une zone de notification (appelée « barre des messages ») qui apparaît dans la partie supérieure des documents. Les utilisateurs peuvent cliquer sur la barre des messages afin de lire la notification et d'activer les macros. En outre, la notification donne des informations relatives au risque encouru, explique pourquoi il existe un risque de sécurité et ce que l'utilisateur peut faire pour atténuer la menace.
Préserver la productivité de l'utilisateur
La préservation de la productivité de l'utilisateur est un autre principe essentiel du modèle de sécurité d'Office 2007. Auparavant, lorsqu'un utilisateur essayait d'ouvrir un document présentant un risque éventuel de sécurité, tel qu'une macro ou un contrôle ActiveX, il ne pouvait pas utiliser le fichier avant d'avoir répondu à un avertissement de sécurité. Dans Office 2007, les utilisateurs peuvent immédiatement accéder aux documents et les utiliser. Les utilisateurs sont invités à entrer des informations uniquement lorsque leur intervention est requise pour préserver un environnement de travail sécurisé.
Par exemple, la nouvelle fonctionnalité de sécurité « Emplacements approuvés » aide les utilisateurs à distinguer les documents qui proviennent de sources approuvées (les documents signés numériquement provenant de collègues ou de partenaires commerciaux par exemple) et ceux qui proviennent de sources non approuvées.
Les documents stockés à un emplacement approuvé sont considérés comme pouvant être ouverts en toute sécurité et l'ensemble du contenu d'un document approuvé est activé sans vérifications de sécurité supplémentaires. L'utilisateur n'a pas à répondre à des avertissements de sécurité ni à activer de contenu dans un document approuvé pour pouvoir travailler. La productivité est ainsi préservée.
Le contenu actif des documents non stockés aux emplacements approuvés est désactivé par défaut. L'utilisateur peut ouvrir ces documents et travailler dessus, mais il doit répondre à la notification pour activer le contenu dangereux de ceux-ci. Ces documents n'affectent la productivité que lorsque l'utilisateur souhaite activer le contenu dangereux.
Fournir un modèle de sécurité gérable et souple
Ce principe reconnaît que le modèle de sécurité par défaut ne convient pas à tous les environnements informatiques ou à tous les utilisateurs. Dans certains cas, et ce, malgré les trois premiers principes, les utilisateurs ne seront autorisés à accéder à du contenu présentant un faible risque que s'ils répondent à une notification ou à un avertissement de sécurité. Pour atteindre avec encore plus d'efficacité les objectifs des trois premiers principes, Office 2007 fournit un ensemble de paramètres de sécurité qui permettent de modifier le modèle de sécurité par défaut. Cette faculté est très importante car elle permet de s'adapter aux nouvelles menaces. Lorsque vous bénéficiez d'une souplesse permettant d'adapter rapidement la sécurité de votre environnement, vous pouvez répondre aux nouvelles menaces dès leur apparition. Vous pouvez utiliser ce modèle de sécurité gérable et souple pour configurer les paramètres de sécurité et mettre en place les environnements Client Enterprise (EC) et Sécurité spécialisée – Fonctionnalité limitée (SSLF), présentés dans le chapitre 5 de ce guide.
Nouveautés et modifications d'Office 2007
Un nouveau modèle de sécurité a été développé pour Office 2007 à partir des quatre principes présentés précédemment. Ce nouveau modèle de sécurité inclut de nouvelles caractéristiques, de nouveaux paramètres et de nouvelles fonctionnalités. Qui plus est, ce nouveau modèle modifie la façon selon laquelle les utilisateurs répondent aux risques dans leurs environnements de travail spécifiques et la façon dont les administrateurs atténuent et gèrent les risques de sécurité au sein de l'entreprise. Les principales modifications apportées au nouveau modèle de sécurité concernent les points suivants :
L'interface utilisateur. L'interface utilisateur mise à jour permet à l'utilisateur d'afficher et de configurer des paramètres de sécurité et l'aide à répondre aux notifications et avertissements de sécurité. Le principe sous-jacent est transparence et simplicité : des informations contextuelles claires doivent être fournies aux utilisateurs, au moment opportun, afin de les informer des décisions à prendre et de leurs conséquences, tout en leur présentant des options claires et compréhensibles.
Paramètres et fonctionnalités d'administration. Ces paramètres et fonctionnalités aident les informaticiens à concevoir et à implémenter des configurations bureautiques sécurisées qui atténuent les menaces de sécurité avec encore plus d'efficacité.
Fonctionnalités par défaut. Les paramètres par défaut aident à améliorer la productivité de l'utilisateur, tout en protégeant les ressources de l'entreprise et en atténuant les menaces de sécurité.
Modifications de l'interface utilisateur
Les modifications de l'interface utilisateur relatives à la sécurité dans Office 2007 peuvent être regroupées selon trois catégories :
La plupart des paramètres de sécurité et des options de confidentialité spécifiques aux applications apparaissent désormais à un emplacement unique appelé « Centre de gestion de la confidentialité ».
Certains paramètres de protection des documents apparaissent désormais avec d'autres paramètres de préparation des documents, tels qu'Enregistrer et Imprimer.
La plupart des notifications et avertissements de sécurité apparaissent désormais dans la nouvelle zone de notification, appelée « barre des messages ».
Grâce à ces modifications, l'interface utilisateur est plus conviviale, car elles permettent aux utilisateurs de rechercher, d'afficher et de configurer des paramètres de sécurité, et de rester productifs même en cas de menaces de sécurité.
Centre de gestion de la confidentialité
Le Centre de gestion de la confidentialité est une console centrale qui permet aux utilisateurs d'afficher et de configurer des paramètres de sécurité et des options de confidentialité. Certains des paramètres de la console du Centre de gestion de la confidentialité concernent plusieurs applications d'Office 2007, mais la plupart concernent uniquement l'application à partir de laquelle le Centre de gestion de la confidentialité a été ouvert. Cela permet d'obtenir un niveau de contrôle jamais atteint jusqu'ici : vous pouvez personnaliser la sécurité de chaque application pour autoriser les fonctionnalités souhaitées dans certaines applications et les limiter dans d'autres. La capture d'écran ci-après présente le Centre de gestion de la confidentialité.
.gif)
Figure 1.1. Centre de gestion de la confidentialité d'Office 2007
Dans le Centre de gestion de la confidentialité, les utilisateurs peuvent configurer les paramètres suivants :
Éditeurs approuvés et Emplacements approuvés. Ces paramètres permettent de spécifier le contenu approuvé, tel que les fichiers qui contiennent des contrôles ActiveX, des compléments et des macros VBA approuvés.
Contrôles ActiveX, compléments et macros VBA. Ces paramètres permettent de contrôler les fonctionnalités des contrôles ActiveX, des compléments et des macros provenant de sources non approuvées ou non vérifiables.
Barre des messages et options de confidentialité. Ces paramètres permettent de contrôler les fonctionnalités de notification et la façon selon laquelle les applications gèrent les informations personnelles ou privées.
Contenu externe. Microsoft Office Excel® 2007 utilise ces paramètres pour contrôler les fonctionnalités de connexion de données.
Pour accéder au Centre de gestion de la confidentialité dans les versions 2007 de Microsoft Office Access™, Excel, PowerPoint® et Word, les utilisateurs peuvent cliquer sur le bouton Office, puis sur Options <programme>, où <programme> correspond au nom du programme exécuté. Dans les versions 2007 de Microsoft Office InfoPath® et Outlook®, les utilisateurs peuvent cliquer sur Centre de gestion de la confidentialité, dans le menu Outils.
Contrôles de protection de documents
Bien que le Centre de gestion de la confidentialité contienne la plupart des paramètres de sécurité et des options de confidentialité spécifiques aux applications, certains paramètres de sécurité spécifiques aux documents en ont été volontairement omis, notamment les paramètres de protection de documents qui permettent aux utilisateurs de chiffrer des documents. Dans la mesure où les utilisateurs utilisent en général les paramètres de protection de documents lorsqu'ils enregistrent ou envoient des documents, ces paramètres se trouvent avec les autres paramètres de préparation des documents. Pour accéder aux paramètres de préparation des documents, les utilisateurs peuvent cliquer sur Bouton Office, puis sur Préparer.
Barre des messages
La barre des messages est une nouveauté de l'interface utilisateur. Elle affiche des notifications et des avertissements lorsque les utilisateurs ouvrent des documents qui contiennent un contenu potentiellement dangereux. La capture d'écran ci-après présente la barre des messages.
.gif)
Figure 1.2. Barre des messages d'Office 2007
Notes
Dans Office Outlook 2007 et Office Publisher 2007, les alertes de sécurité apparaissent dans des boîtes de dialogue et non dans la barre des messages.
La barre des messages informe les utilisateurs que certaines fonctionnalités d'un document sont bloquées. Dans les versions précédentes de Microsoft Office, une boîte de dialogue d'avertissement s'affichait et l'utilisateur devait apporter une réponse avant de pouvoir utiliser le document. Par exemple, si un utilisateur ouvrait un document contenant des macros, il ne pouvait pas accéder au document avant d'avoir répondu à la boîte de dialogue d'avertissement, en activant ou en désactivant les macros. En revanche, la barre des messages permet à l'utilisateur d'ouvrir un document et de travailler dessus sans avoir à répondre à l'invite de cette même barre. Les contrôles ActiveX non approuvés, les macros et autres contenus potentiellement dangereux sont désactivés tant que l'utilisateur ne clique pas sur la barre des messages et qu'il ne répond pas à la notification ou à l'avertissement. La capture d'écran suivante présente un exemple de message d'avertissement susceptible de s'afficher lorsque l'utilisateur clique sur la barre des messages.
.gif)
Figure 1.3. Message d'avertissement de la barre des messages d'Office 2007
Modifications apportées aux paramètres et fonctionnalités d'administration
Office 2007 intègre de nouveaux paramètres et de nouvelles fonctionnalités, notamment :
un nouveau groupe de paramètres appelé « Emplacements approuvés » ;
des modifications de la gestion des contrôles ActiveX, des compléments et des macros ;
un nouveau groupe de paramètres appelé « Paramètres de blocage de formats de fichier » ;
un nouvel outil appelé « Inspecteur de document ».
Les sections suivantes présentent ces nouveaux paramètres et nouvelles fonctionnalités.
Paramètres d'Emplacements approuvés
Les paramètres d'Emplacements approuvés aident à distinguer les documents considérés comme provenant d'une ou de plusieurs sources approuvées. Lorsque vous spécifiez un emplacement approuvé, tel qu'un dossier sur le disque dur d'un utilisateur ou un partage de documents correctement géré et sécurisé sur le réseau, et qu'un utilisateur ouvre un document enregistré dans cet emplacement approuvé, le contenu du document est activé et initialisé, y compris les contrôles ActiveX, les liens externes et les macros. En outre, lorsque l'utilisateur ouvre des documents stockés dans des emplacements approuvés, aucun avertissement ou invite n'apparaît dans la barre des messages ou dans l'interface utilisateur.
Attention
Les documents ouverts à partir d'emplacements approuvés présentent un risque plus important pour l'entreprise que les documents ouverts à partir d'emplacements non approuvés. Par conséquent, les utilisateurs doivent être extrêmement vigilants lorsqu'ils choisissent les documents à enregistrer dans les emplacements approuvés.
Pour atténuer le risque qu'une personne crée un emplacement approuvé à des fins malveillantes et exécute du code nuisible, les paramètres par défaut d'Office 2007 n'autorisent pas les utilisateurs à spécifier des dossiers distants en tant qu'emplacements approuvés. Par défaut, les emplacements approuvés peuvent uniquement être créés localement sur les disques durs des utilisateurs. Par ailleurs, les emplacements approuvés peuvent être facilement révoqués en cas d'attaque de sécurité. D'autre part, Office 2007 empêche les utilisateurs de spécifier certains dossiers à risque en tant qu'emplacements approuvés, tels que le cache des pièces jointes d'Office Outlook 2007, le dossier Temp et d'autres dossiers dans lesquels les documents sont parfois stockés provisoirement.
Certaines entreprises autorisent les utilisateurs à accéder à des documents spécifiques contenant des macros et des contrôles ActiveX, mais dont la fiabilité est avérée, tout en bloquant des documents contenant ces mêmes éléments (des pièces jointes par exemple), mais provenant d'autres sources. Cette possibilité offre la fonctionnalité que vous recherchez pour des activités définies et protège l'environnement contre les menaces éventuelles. Notez que si un emplacement distant (un partage réseau par exemple) est sélectionné dans ce scénario, il est primordial que le serveur soit sécurisé et géré de façon appropriée afin d'autoriser uniquement le stockage de documents connus et approuvés.
Paramètres pour les contrôles ActiveX, les compléments et les macros
Dans Office 2007, vous pouvez gérer le fonctionnement des contrôles ActiveX, des compléments et des macros en configurant des paramètres globaux ou des paramètres spécifiques aux applications. Auparavant, vous pouviez atténuer les menaces de sécurité liées aux macros en choisissant l'un des quatre paramètres globaux suivants : Basse, Moyenne, Élevée et Très élevée. Chacun de ces paramètres correspondait à une situation progressivement plus restrictive. Le paramètre Basse permettait aux utilisateurs d'exécuter toutes les macros et le paramètre Élevé uniquement les macros signées par un éditeur approuvé. En outre, il n'y avait pas de paramètres globaux ou spécifiques aux applications pour gérer les contrôles ActiveX (à part en modifiant le Registre), et il n'y avait pas de paramètres de sécurité spécifiques aux applications pour gérer les compléments. Aujourd'hui, le nouveau modèle offre transparence et spécificité : vous comprenez ce qui est activé par rapport à chaque type de technologie et pouvez sélectionner la fonctionnalité qui complète votre architecture de sécurité et vos objectifs en matière de convivialité.
Paramètres des contrôles ActiveX
De nouveaux paramètres permettent de contrôler le fonctionnement des contrôles ActiveX. Vous pouvez sélectionner l'une des options suivantes :
Désactiver tous les contrôles ActiveX. Empêche le chargement des contrôles ActiveX et n'informe pas l'utilisateur que les contrôles ActiveX sont désactivés. Exception : lorsque les contrôles ActiveX sont contenus dans des documents stockés dans des emplacements approuvés.
Configurer l'initialisation de contrôles ActiveX. Spécifie la façon selon laquelle s'effectue le chargement des contrôles ActiveX en se basant sur les paramètres SFI (sûr pour l'initialisation) et UFI (contrôles d'initialisation non sécurisés). Auparavant, pour configurer ce paramètre vous deviez apporter des modifications dans le Registre (comme indiqué précédemment). Dans Office 2007, pour configurer ce paramètre, utilisez les Modèles d'administration (fichiers .adm ou .admx).
Configurer les invites de contrôles ActiveX. Spécifie la façon selon laquelle les utilisateurs doivent être informés du chargement de contrôles ActiveX. Vous pouvez configurer ce paramètre de façon à ce que les utilisateurs reçoivent ou non une invite lors d'une tentative de chargement d'un contrôle ActiveX.
Paramètres des compléments
Dans Office 2007, aucun paramètre ne permet d'approuver tous les compléments et modèles installés, contrairement à Microsoft Office 2003. En revanche, de nouveaux paramètres permettent de contrôler les fonctionnalités des compléments, notamment :
Désactiver tous les compléments d'applications (peut affecter certaines fonctionnalités). Empêche l'exécution de tous les composants. Les utilisateurs ne sont pas informés que les composants sont désactivés.
Exiger la signature des compléments d'applications par un éditeur approuvé. Recherche une signature numérique dans le fichier contenant le complément. Si l'éditeur n'est pas approuvé, le programme ne charge pas le complément et la barre des messages signale que le complément a été désactivé.
Désactiver la notification de la barre de confidentialité pour les compléments d'applications non signés (le code reste désactivé). Ce paramètre peut uniquement être activé si le paramètre Exiger la signature des compléments d'applications par un éditeur approuvé est activé. Il se peut que le fichier contenant le complément ne soit pas signé. Si ce paramètre est activé, les compléments signés par des éditeurs approuvés sont activés et les compléments non signés, désactivés, sans en notifier les utilisateurs.
Macros
De nouveaux paramètres permettent de contrôler le fonctionnement des macros. Les paramètres vous permettent de contrôler les macros de la façon suivante :
Désactiver VBA. Désactive VBA pour toutes les applications d'Office 2007.
Configurer les paramètres d'avertissement des macros. Spécifie les conditions selon lesquelles les utilisateurs doivent être informés au sujet des macros. Les quatre options disponibles sont les suivantes :
Toujours informer sur les macros.
Toujours afficher une notification pour les macros signées numériquement uniquement et désactiver les macros non signées.
Ne pas afficher de notification et désactiver toutes les macros.
Ne pas effectuer de vérifications de sécurité et autoriser l'exécution de toutes les macros.
Forcer l'analyse des macros chiffrées dans les documents aux formats Microsoft Office Open XML. Signifie que les vérifications de sécurité relatives aux macros s'effectuent dans les fichiers chiffrés qui utilisent les nouveaux formats Office Open XML. Ce paramètre peut uniquement être configuré en utilisant les Modèles d'administration (fichiers .adm ou .admx). Il ne peut pas être configuré dans l'interface utilisateur. Ce paramètre est activé par défaut. Les macros chiffrées dans les documents aux formats Office Open XML sont donc analysées par défaut.
Paramètres de blocage de formats de fichier
De nouveaux paramètres vous permettent d'empêcher les utilisateurs d'ouvrir ou d'enregistrer certains types de fichiers dans les versions 2007 d'Office Excel, PowerPoint et Word. Ces paramètres s'avèrent très pratiques si vous souhaitez que seuls des formats de fichier spécifiques soient utilisés dans votre entreprise ou si vous souhaitez atténuer certaines menaces de sécurité. Vous pouvez utiliser les paramètres de blocage de formats de fichier pour :
atténuer les attaques de type « zero-day » avant d'implémenter un correctif ;
empêcher les utilisateurs d'ouvrir ou d'enregistrer certains types de fichiers ;
empêcher les utilisateurs d'ouvrir des fichiers compatibles avec des versions antérieures d'Office Excel, PowerPoint et Word ;
empêcher les utilisateurs d'ouvrir des documents via des convertisseurs externes, tels que le convertisseur WordPerfect installé avec Office 2007 ;
empêcher les utilisateurs d'ouvrir des versions de fichier créées dans des versions préliminaires (bêta) d'applications.
Inspecteur de document
L'Inspecteur de document est un outil qui permet de supprimer les informations confidentielles et masquées des documents, notamment les informations personnelles et les propriétés des documents. L'Inspecteur de document est disponible par défaut dans les versions 2007 d'Office Excel, PowerPoint et Word. Toutefois, chaque programme utilise des jeux de modules Inspecteur différents pour supprimer différents types de contenu. Par exemple, Office Excel 2007 possède un module Inspecteur qui permet aux utilisateurs de supprimer les feuilles de calcul masquées. Les documents Office Word 2007 et les présentations Office PowerPoint 2007 ne prennent pas en charge les feuilles de calcul masquées, par conséquent, le module correspondant n'est pas disponible dans ces applications.
Les utilisateurs peuvent spécifier le type de contenu à supprimer des fichiers, y compris :
les propriétés des documents et les informations personnelles (métadonnées) ;
les commentaires, les marques de révision du suivi des modifications, les versions et les annotations manuscrites ;
les en-têtes, les pieds de page et les filigranes ;
Texte masqué
les lignes, colonnes et feuilles de calcul masquées ;
le contenu invisible ;
le contenu des objets hors diapositive ;
les notes de présentations ;
les propriétés du serveur de documents ;
les données XML personnalisées.
Vous pouvez activer et désactiver les modules Inspecteur, mais aucun paramètre administratif ne vous permet de contrôler le fonctionnement de chaque module Inspecteur. Toutefois, à l'aide d'un programme, vous pouvez créer des modules Inspecteur personnalisés.
Modification des fonctionnalités par défaut
Dans Office 2007, plusieurs paramètres de sécurité par défaut ont été modifiés. Les sous-sections ci-après présentent ces modifications.
Les documents peuvent toujours être ouverts
Lorsque les utilisateurs essaient d'ouvrir des documents contenant un contenu potentiellement dangereux, tel que des macros et des contrôles ActiveX non approuvés ou des liens menant vers des sources de données externes non approuvées, les documents s'ouvrent et le contenu non approuvé est désactivé. Les utilisateurs sont informés que le contenu non approuvé est bloqué. Dans les précédentes versions de Microsoft Office, l'ouverture de ces documents était bloquée tant que les utilisateurs n'activaient pas le contenu non approuvé.
Le contenu externe est bloqué
Par défaut, Office 2007 bloque l'accès au contenu externe potentiellement dangereux. Par exemple, les liens des documents Office PowerPoint 2007 pointant vers des images stockées sur des réseaux externes et les connexions de données d'Office Excel 2007 sont bloqués. Lorsque ces liens ou connexions sont présents, un message de notification s'affiche dans la barre des messages. Lorsque l'utilisateur clique sur la barre des messages, il est invité à spécifier s'il souhaite activer le contenu externe.
Si l'utilisateur ouvre d'autres documents Office 2007, des avertissements de sécurité s'affichent avant qu'il ne puisse accéder au contenu externe potentiellement dangereux. Par exemple, si l'utilisateur clique sur des liens qui utilisent des protocoles potentiellement dangereux ou sur des liens menant vers d'autres documents Office et vers des fichiers exécutables, une boîte de dialogue d'avertissement de sécurité s'affiche.
Notes
Le contenu externe des documents stockés dans des emplacements approuvés est activé.
L'exécution des contrôles ActiveX est autorisée dans certains cas
Pour les contrôles ActiveX, quatre options par défaut sont disponibles. Ces options dépendent des caractéristiques du contrôle ActiveX et des caractéristiques du document contenant le contrôle ActiveX.
Si un bit d'arrêt est défini dans le Registre pour un contrôle ActiveX, le contrôle n'est pas chargé et ne peut pas être chargé quelles que soient les circonstances. Un bit d'arrêt (en anglais, kill bit) est une fonctionnalité qui empêche le chargement des contrôles qui ont une faiblesse exploitable connue. Pour plus d'informations, consultez l'article de la Base de connaissances intitulé : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer ?
Si un contrôle ActiveX est contenu dans un document qui ne comprend pas de projet VBA et que le contrôle ActiveX est marqué comme étant SFI (sûr pour l'initialisation), le contrôle ActiveX est chargé avec des restrictions minimales. La barre des messages n'apparaît pas et aucune notification relative à la présence de contrôles ActiveX dans les documents ne s'affiche. Pour éviter qu'une notification soit générée, tous les contrôles ActiveX d'un document doivent être marqués comme étant SFI.
Si un contrôle ActiveX est contenu dans un document qui ne comprend pas de projet VBA et que le contrôle ActiveX est marqué comme étant UFI (contrôles d'initialisation non sécurisés), les utilisateurs sont informés via la barre des messages qu'un contrôle ActiveX a été désactivé. Si l'utilisateur clique sur la barre des messages, il est invité, via une boîte de dialogue, à spécifier s'il souhaite activer le contrôle ActiveX. Si l'utilisateur active le contrôle ActiveX, tous les contrôles ActiveX du document (SFI et UFI) sont chargés avec des restrictions minimales.
Si un contrôle ActiveX est contenu dans un document qui comprend également un projet VBA, l'utilisateur est informé, via la barre des messages, qu'un contrôle ActiveX a été désactivé. Si l'utilisateur clique sur la barre des messages, il est invité, via une boîte de dialogue, à spécifier s'il souhaite activer le contrôle ActiveX. Si l'utilisateur active le contrôle ActiveX, tous les contrôles ActiveX du document (SFI et UFI) sont chargés avec des restrictions minimales.
Notes
Si un contrôle ActiveX est contenu dans un document enregistré dans un emplacement approuvé, ce contrôle ActiveX est activé par défaut et l'utilisateur n'est pas invité à l'activer.
L'exécution des compléments installés et enregistrés est autorisée
Par défaut, tous les compléments installés et enregistrés peuvent s'exécuter sans intervention de l'utilisateur et sans avertissement. Les compléments installés et enregistrés peuvent inclure les éléments suivants :
des compléments COM (Component Object Model) ;
des balises actives ;
des compléments Automation ;
des serveurs RTD (RealTimeData) ;
des compléments d'application (par exemple, les fichiers .wll, .xll et .xlam) ;
des kits d'extension XML ;
des feuilles de style XML.
Cette configuration par défaut équivaut à sélectionner le paramètre « Faire confiance à tous les modèles et compléments installés », activé par défaut dans Microsoft Office 2003.
Seule l'exécution des macros approuvées est autorisée
Par défaut, l'exécution des macros approuvées est autorisée, notamment celles des documents enregistrés à des emplacements approuvés et celles satisfaisant aux critères suivants :
Le développeur a signé la macro à l'aide d'une signature numérique.
La signature numérique est valide.
La signature numérique est actuelle (non expirée).
Le certificat associé à la signature numérique a été émis par une autorité de certification digne de confiance.
Le certificat associé à la signature numérique est répertorié dans la liste Éditeurs approuvés de l'ordinateur de l'utilisateur.
L'exécution des macros non approuvées n'est pas autorisée avant que l'utilisateur ne clique sur la barre des messages et qu'il ne choisisse d'activer la macro. Auparavant, les macros non signées étaient désactivées et les utilisateurs n'avaient pas la possibilité de les activer. Dans Office 2007, cette fonctionnalité est différente. En effet, dans cette nouvelle version d'Office, lorsqu'un document contient des macros non signées, l'utilisateur en est informé et a la possibilité de les activer.
Risques et menaces
Vous pouvez utiliser les nouvelles fonctionnalités de sécurité d'Office 2007 afin de développer différentes stratégies de sécurité. Toutefois, pour développer une stratégie de sécurité ciblée et efficace, il est primordial de bien comprendre les risques susceptibles d'affecter votre entreprise et les menaces et agents de menace qui exploitent ces risques.
Risques de sécurité liés aux informations
Selon les informaticiens, les risques de sécurité liés aux informations sont le plus souvent des risques liés à la confidentialité, des risques liés à l'intégrité et des risques liés à la disponibilité. Ces risques sont présentés dans la section « Vue d'ensemble » de ce guide.
Par défaut, le modèle d'Office 2007 aide votre entreprise à atténuer ces trois types de risques. Toutefois, chaque entreprise a une infrastructure, des impératifs de productivité et des exigences de sécurité spécifiques à son activité. Afin de déterminer la façon selon laquelle votre entreprise peut atténuer ces risques professionnels, vous devez évaluer les menaces et agents de menace qui exploitent ces risques.
Menaces liées aux applications de productivité personnelle
Le modèle de sécurité d'Office 2007 vous aide à atténuer cinq types de menaces de sécurité liées aux logiciels de productivité. Chacun de ces types de menaces inclut plusieurs agents de menace et peut être exploité par un large éventail d'attaques de sécurité. La figure suivante présente des menaces de sécurité et des exemples d'agents de menace courants.
.gif)
Figure 1.4. Menaces liées aux applications de productivité de bureau
La plupart des entreprises sont confrontées au risque éventuel que présente chacune de ces cinq menaces de sécurité. Cela étant, la plupart des entreprises sont confrontées à des combinaisons d'agents de menace et d'attaques ou vulnérabilités qui lui sont propres.
Menaces liées au contenu actif
Les menaces liées au contenu actif sont des menaces de sécurité de bureau courantes En général, les agents de menace incluent les contrôles ActiveX, les compléments et les macros VBA. Ces agents de menace peuvent être exploités par des programmeurs qui créent du code ou des programmes malveillants qui s'exécutent ensuite sur les ordinateurs des utilisateurs. Les menaces liées au contenu actif présentent un risque quelle que soit la taille de l'entreprise, et surtout pour les entreprises qui autorisent les utilisateurs à effectuer les opérations suivantes :
exécuter des macros, des contrôles ActiveX ou des compléments ;
ouvrir des pièces jointes ;
partager des documents sur un réseau public, comme Internet ;
ouvrir des documents provenant de sources externes à l'entreprise, telles que des clients, des fournisseurs ou des partenaires.
Menaces d'accès non autorisé
Les menaces d'accès non autorisé se produisent lorsqu'un utilisateur non autorisé essaie d'accéder à des informations. Parmi les cibles éventuelles des utilisateurs non autorisés figurent notamment les suivantes :
Fichiers de documents. Si des utilisateurs non autorisés accèdent à des fichiers de documents, ils peuvent supprimer, remplacer ou endommager ces fichiers.
Informations contenues dans les documents. Ces informations incluent : le texte, les graphiques, les commentaires, les annotations, les données XML personnalisées, le texte masqué, les filigranes et les informations relatives aux en-têtes et aux pieds de page. Si des utilisateurs non autorisés parviennent à accéder aux informations contenues dans les documents, ils peuvent accéder à des données confidentielles et à des informations personnelles ou privées sur les utilisateurs. Ils peuvent également modifier, endommager ou supprimer des informations et utiliser leur accès pour ajouter du contenu actif aux documents enregistrés dans des emplacements approuvés.
Métadonnées. Informations associées aux documents. Il s'agit notamment des propriétés du document, telles que le nom de l'auteur, le nom de la société, la durée d'édition du document ou le numéro de version du document. Les utilisateurs non autorisés qui parviennent à accéder aux métadonnées peuvent accéder à des données personnelles ou professionnelles confidentielles. Ils peuvent également endommager ou supprimer des métadonnées.
La plupart des entreprises sont confrontées aux menaces liées aux documents. Toutefois, elles ne prennent souvent pas suffisamment de mesures pour atténuer ces menaces car elles les jugent négligeables ou estiment que le coût administratif consacré à leur atténuation est excessif. Ces considérations peuvent aboutir à des pratiques non sécurisées et aux situations suivantes :
L'architecture de sécurité réseau de votre entreprise ne parvient pas à empêcher les intrus ou les personnes malveillantes d'accéder à votre réseau interne, ce qui accroît le risque que des utilisateurs malveillants accèdent aux documents de votre entreprise.
Votre entreprise autorise les utilisateurs à envoyer, à recevoir ou à partager des documents propriétaires sur Internet, notamment des données financières, des plans de projet, des présentations ou des dessins.
Votre entreprise n'empêche pas les utilisateurs de connecter leurs ordinateurs portables à des réseaux publics, ce qui accroît le risque que des personnes malveillantes non identifiables accèdent aux documents enregistrés sur ces ordinateurs.
Votre entreprise n'empêche pas les utilisateurs de sortir de l'entreprise des documents contenant des informations propriétaires.
Il est possible que des personnes malveillantes ou des intrus non autorisés accèdent à des documents contenant des informations propriétaires.
Menaces liées au contenu externe
Les menaces de contenu externe incluent tous les agents de menace qui lient un document à un autre, à une base de données, ou à un site Web sur un intranet ou un réseau public, tel qu'Internet. Les menaces de contenu externe sont exploitées via les agents de menace suivants :
Liens hypertexte. Les personnes malveillantes exploitent généralement cet agent de menace en créant des liens hypertexte pointant vers des documents non approuvés ou vers des sites Web contenant du code ou du contenu malveillant.
Connexions de données. Les personnes malveillantes exploitent généralement cet agent de menace en créant des connexions de données vers des sources de données ou des bases de données, puis en utilisant ces connexions pour manipuler ou extraire des données à des fins malveillantes.
Balises Web. En général, une personne malveillante exploite cet agent de menace en intégrant dans un message électronique un lien invisible vers une image distante. Lorsque l'utilisateur ouvre le message, le lien s'active et télécharge l'image distante. Ainsi, les informations de l'utilisateur, telles que son adresse électronique et l'adresse IP de son ordinateur, peuvent être envoyées à l'ordinateur distant.
Objets Gestionnaire de liaisons. Les personnes malveillantes peuvent exploiter cet agent de menace en faisant en sorte qu'un objet intégré exécute un code malveillant.
Les menaces liées au contenu externe présentent des risques si votre entreprise :
octroie aux utilisateurs un accès non restreint aux réseaux publics, tels qu'Internet ;
n'empêche pas les utilisateurs de recevoir des messages électroniques contenant des images intégrées et du code HTML ;
n'empêche pas les utilisateurs d'utiliser des connexions de données dans des feuilles de calcul ou d'autres documents.
Menaces liées au navigateur
Ces menaces peuvent se poser lorsqu'une application ou un document utilise, par le biais d'un programme, les fonctionnalités d'un navigateur Web, tel que Microsoft Internet Explorer®. Les menaces liées au navigateur présentent un risque pour les applications et les documents, car tout risque présent pour le navigateur est également présent pour l'application ou le document qui héberge le navigateur. Les menaces liées au navigateur incluent bon nombre d'agents de menace et peuvent être exploitées via un large éventail d'attaques de sécurité. Parmi les exemples d'agents de menace figurent notamment les suivants : l'installation de contrôles ActiveX, le téléchargement de fichiers, le reniflage des données MIME (Multipurpose Internet Mail Extensions), l'élévation de zone et l'installation de compléments.
Les menaces liées au navigateur présentent des risques si votre entreprise :
autorise les utilisateurs à exécuter des contrôles ActiveX, des compléments ou des macros qui utilisent des fonctionnalités du navigateur ;
développe et commercialise des solutions Office qui font appel à des fonctionnalités du navigateur.
Pour limiter les risques que pose l'utilisation des navigateurs Web, Microsoft a conçu Internet Explorer 7 de sorte qu'il soit beaucoup plus sécurisé par défaut. Microsoft a également publié le Guide de la sécurité pour Internet Explorer 7. Ce guide explique comment optimiser la sécurité d'Internet Explorer sur les ordinateurs clients dans les environnements professionnels.
Menaces liées aux attaques de type « zero-day »
Les attaques de type « zero-day » peuvent être lancées lorsqu'une faille de sécurité est découverte et qu'aucune mise à jour logicielle n'a encore été publiée pour la corriger, telle qu'un bulletin de sécurité Microsoft ou un Service Pack. Ce type d'attaque peut prendre les formes suivantes :
exécution de code à distance ;
élévation de privilèges ;
divulgation d'informations.
Les programmeurs et utilisateurs malveillants peuvent exploiter les failles de sécurité en menant différentes attaques de sécurité. Tant qu'aucun bulletin de sécurité ou Service Pack n'est publié pour cette faille de sécurité, celle-ci représente un réel risque de menace pour votre entreprise.
Se représenter à quoi ressemble un environnement Office 2007 sécurisé
Bien qu'il soit possible de déployer Office 2007 en tant que suite d'applications clientes autonome, ce type de déploiement n'est pas courant pour les grandes entreprises. En effet, la plupart des grandes entreprises déploient Office 2007 en l'intégrant à leur infrastructure d'entreprise. Dans ce type de scénario, Office 2007 fait partie d'un système intégré comprenant des serveurs d'applications, tels que Microsoft Office SharePoint® Server et Windows SharePoint Services, des serveurs de communication, tels que Microsoft Exchange Server, et des serveurs de données, tels que Microsoft SQL Server™. La figure suivante présente un environnement Office 2007 intégré standard.
.gif)
Figure 1.5. Environnement Microsoft Office 2007 intégré standard
Cette figure explique également comment les technologies et les paramètres de sécurité d'Office 2007 permettent d'atténuer les menaces que posent les logiciels malveillants et le rôle critique de ces paramètres dans une stratégie de défense en profondeur. Par exemple, lorsque vous optez pour une approche de défense en profondeur, les mesures de sécurité incluent le plus souvent :
des technologies de filtrage réseau, telles que des pare-feu, des serveurs proxy et des systèmes de détection d'intrusion ;
des technologies anti-programme malveillant sur les serveurs de messagerie et les ordinateurs clients, telles que des antivirus ou des programmes de détection des logiciels espions ;
des technologies et paramètres de sécurité fournis avec Office 2007, telles que les paramètres de connexion de données externes, les paramètres de macro VBA, le chiffrement, la fonction de signature numérique, les paramètres d'emplacements approuvés et les paramètres d'éditeurs approuvés.
Notes
Cette liste n'est pas exhaustive, elle ne répertorie pas toutes les mesures de sécurité que vous devez intégrer dans le cadre de votre stratégie de défense en profondeur.
Télécharger
Obtenir le Guide de sécurité de Microsoft Office 2007
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires