Avec le blocage d’ActiveX par défaut, Microsoft tourne une page dans sa suite bureautique. Les entreprises qui s’appuyaient encore sur cette brique historique vont devoir s’adapter.
ActiveX, ça vous parle ? Bientôt plus. Depuis près de trente ans, cette technologie permettait d’intégrer des objets interactifs dans les documents Word ou Excel. Pratique à une époque, elle est encore intégrée à la suite Office, mais n’est plus vraiment en phase avec les usages modernes ni les exigences de sécurité actuelles. Microsoft a donc tranché : dès la fin du mois d'avril, tous les contrôles ActiveX seront bloqués par défaut dans Microsoft 365 et Office 2024. Une décision attendue, qui s’inscrit dans une volonté plus large de fermer les portes réputées vectrices d'attaques.
Microsoft désactive ActiveX dans Office pour de bon (ou presque)
ActiveX ne s’exécutera plus. C’est désormais acté pour toutes les versions Windows de Word, Excel, PowerPoint et Visio, et la sentence… est irrévocable. Microsoft a en effet confirmé qu’elle déploiera, d’ici la fin du mois, une mise à jour destinée à bloquer automatiquement tous les contrôles ActiveX encore présents dans les fichiers. Les autres objets intégrés, comme les tableaux Excel ou les images, ne sont pas concernés.
En réalité, la plupart des utilisateurs et utilisatrices ne remarqueront probablement aucune différence. Initialement, ActiveX est un composant développé par Microsoft dans les années 90, dans la continuité de ses technologies COM et OLE, pour ajouter de l’interactivité dans les applications Windows. Il permettait d’insérer des contrôles comme des boutons, des menus déroulants ou des formulaires directement dans un document Word ou Excel, de connecter un fichier à une base de données ou d’exécuter automatiquement un script à l’ouverture.
Dans les années 2000, c’était un vrai atout. On pouvait intégrer un lecteur audio dans une présentation PowerPoint, afficher un graphique 3D dans Excel ou automatiser des processus métiers via des formulaires connectés à Access. Ces usages ont longtemps fait d’ActiveX un outil phare dans les entreprises, en particulier quand l’interopérabilité entre logiciels n’en était qu’à ses débuts.
18 février 2025 à 12h34
Mais ce modèle a vieilli. Aujourd’hui, les macros VBA, les add-ins basés sur des standards web et les applications connectées via API couvrent les mêmes besoins, avec des garanties de sécurité plus solides. ActiveX, quant à lui, n’est plus compatible avec les navigateurs modernes, les OS non-Windows, ni les versions cloud d’Office. Il appartient à un environnement local, qui ne correspond plus aux usages actuels, il faut le dire.
ActiveX est aussi devenu l’un des vecteurs préférés des attaquants pour exécuter du code à distance. Plusieurs malwares bien connus, dont TrickBot ou Cobalt Strike, en ont tiré parti, profitant de sa flexibilité pour lancer des attaques dès l’ouverture d’un document piégé. Les risques étant encore aujourd’hui trop importants, Microsoft a donc logiquement choisi de durcir sa position. L’ancien paramètre par défaut – affichage d’une invite avant d’autoriser les contrôles avec des restrictions minimales – a été supprimé au profit d’un blocage total, sans notification préalable.
Pour autant, ce changement de politique ne supprimera pas totalement la fonction, même s’il en compliquera clairement l’usage. Il sera toujours possible de réactiver manuellement ActiveX via le Trust Center, à condition que l’administrateur système n’en ait pas bloqué l’accès. Microsoft a par ailleurs insisté sur le fait que cette option ne devait être utilisée qu’en dernier recours, dans des environnements maîtrisés, et rappelé de ne jamais céder à une invite proposant de l’activer sans raison claire, risque de phishing oblige.
Technos à risques : ActiveX, VBScript, macros… Microsoft serre la vis pour la suite Office
Au-delà du cas d’ActiveX, cette évolution s’inscrit dans un effort plus large de sécurisation de la suite Office. Depuis 2018, Microsoft intègre son moteur de détection AMSI dans les applications de la suite pour identifier les comportements suspects. Des fonctionnalités comme les macros VBA, les macros XLM ou les compléments XLL non approuvés ont été désactivées par défaut. Fin 2023, Microsoft annonçait également la mise en retrait progressive de VBScript, relégué à une fonction activable à la demande avant suppression.
Ce travail de fond vise à retirer les technologies les plus ciblées par les attaquants. Certaines restent très utilisées dans les environnements métiers, mais leur présence continue dans les produits grand public accroît le risque d’exploitation. En bloquant ActiveX par défaut, Microsoft supprime une backdoor involontaire bien documentée, sans bouleverser la majorité des usages quotidiens. Une transition qui devrait se faire en douceur, même si elle obligera quelques structures à revoir des automatisations héritées d’un autre temps.
Car s’il n’est pas encore question de supprimer définitivement ActiveX, c’est en grande partie à cause des contraintes de rétrocompatibilité. De nombreuses entreprises disposent encore de documents ou d’environnements métiers construits autour de cette technologie, parfois depuis plus de vingt ans. Son remplacement impliquerait de repenser entièrement certains outils métiers existants, sans garantie que les alternatives actuelles – comme la plateforme de compléments Office – couvrent l’ensemble des usages.
Malgré tout, les dernières décisions de Microsoft sont peu équivoques quant à l’avenir d’ActiveX, et son blocage par défaut pourrait bien marquer le début de la fin.
Source : Microsoft, Bleeping Computer
03 mars 2025 à 10h05
