Notes de sécurité pour les développeurs de solutions Office

Définir Office sécurité dans un environnement de test

Notes

Vous pouvez inclure Visual Basic pour Applications code (VBA) ou exécuter des modules de macros com uniquement dans un document, une feuille de calcul ou une présentation à macros actives. Vous pouvez créer un fichier activé pour les macros en enregistrer les documents avec une extension .docm ou .dotm dans Word ; une extension .xlsm, .xltm ou .xlam dans Excel ; ou une extension .pptm, .potm, .ppam ou .ppsm dans PowerPoint.

Pour installer et exécuter un compl?ment COM non signé, les options Exiger la signature des compl?ments d’application par trusted Publisher et Désactiver tous les compl?ments d’application doivent être désactivées sous l’onglet Compl?ments dans le Centre de trust. Pour ouvrir l’onglet Modules, sélectionnez l’onglet Fichier, puis choisissez OptionsTrust > CenterTrust > Center Paramètres> Add-ins.

Pour exécuter toutes les macros VBA, y compris celles non signées numériquement, l’option Activer toutes les macros doit être sélectionnée dans le Centre de gestion de la confidentialité. Pour afficher les options Paramètres macro, sélectionnez l’onglet Fichier, puis choisissez OptionsTrust > CenterTrust > Center Paramètres > Macros Paramètres. Pour des raisons de sécurité, il est fortement recommandé de réaliser cette procédure dans un environnement de test. Une fois le test terminé, redéfinissez les options à leur état d’origine.

Sous l’onglet Paramètres macro du Centre de confiance, définissez des options pour désactiver toutes les macros sans notification, Désactiver toutes les macros avec notification ou Désactiver toutes les macros à l’exception des macros signées numériquement. Désactivez les macros en enregistrer le document Word, la feuille de calcul Excel ou la présentation PowerPoint en tant que fichiers désactivés pour les macros (.docm, .xlsm ou .pptm, respectivement). Définissez ou désactivez l’accès au modèle objet de projet VBA à partir de l’onglet Macro Paramètres en sélectionnant ou en désactivant l’accès d’confiance à l’option de modèle objet de projet VBA.

Notes

Dans le ruban de l’interface utilisateur Office Fluent, lorsque des compléments COM et autres compléments spécifiques à une application sont activés et chargés, leurs contrôles sont affichés dans un onglet Compléments.

Consultez la liste des add-ins disponibles sous l’onglet Des add-ins dans le Centre de confiance. Sous le même onglet, activez, désactivez, ajoutez ou supprimez des compl?ments COM ou Word en sélectionnant le type de compl?ment dans la zone de drop-down en haut de l’étiquette Gérer, puis choisissez le bouton Go.

Modifier le Windows registre

La modification Windows registre de quelque manière que ce soit, que ce soit dans l’Éditeur du Registre ou par programme, implique toujours un certain degré de risque. Une modification incorrecte peut entraîner de graves problèmes, pouvant nécessiter la réinstallation du système d’exploitation. Il est toujours pratique de tout d’abord de la back up du Registre d’un ordinateur avant de le modifier. Si vous exécutez Microsoft Windows NT, Windows 2000, Windows XP ou Windows Server 2003, vous devez également mettre à jour votre disque de réparation d’urgence (ERD).

Pour plus d’informations sur la modification du Registre, voir la rubrique d’aide Modifier les clés et les valeurs dans l’Éditeur du Registre (Regedit.exe) ou les rubriques Ajouter et supprimer des informations dans le Registre et modifier les informations du Registre dans l’Éditeur du Registre (Regedt32.exe).

Effectuer des Windows de fonction API

Avant d Windows les fonctions d’interface de programmation d’application (API), vous devez comprendre comment les arguments et les types de données sont gérés par les DLL d’API Windows. Les appels incorrects de fonctions Windows peuvent entraîner des erreurs de page non valide ou tout autre comportement inattendu. Pour plus d’informations sur l’appel Windows fonctions, voir la rubrique « Api Windows et autres bibliothèques Dynamic-Link » dans la documentation en ligne Office 2000 developer.

Code de signature numérique

La signature numérique d’un document consiste à « tamponner » un document afin que le destinataire du document soit certain qu’il provient d’une source spécifique, et peut déterminer si le contenu du document a été modifié depuis la signature du document. En outre, les signatures numériques permettent également de marquer un document comme étant en lecture seule afin de protéger son authenticité et son intégrité.

Outre les signatures numériques, les documents peuvent également contenir des signatures internes visibles dans le contenu du document. L’expéditeur du document peut créer des documents non signés avec des lignes de signature où le destinataire peut appliquer sa signature. Le destinataire ouvre le document, repère la ligne de signature, signe le document, puis le renvoie à l’expéditeur.

En général, les étapes pour signer numériquement un document incluent :

  1. L’expéditeur du document compresse le contenu du document en quelques lignes à l’aide d’un processus appelé « hachage ». Le contenu compressé est appelé une synthèse du message. Le hachage est effectué par un logiciel créé à cette fin.
  2. L’expéditeur du document chiffre ensuite la synthèse du message à l’aide d’une clé privée obtenue auprès d’une autorité de signature. Le résultat est une signature numérique.
  3. L’expéditeur joint la signature numérique au document. Toutes les données hachées sont alors signées, et la signature est chiffrée et jointe au document.
  4. L’expéditeur envoie ensuite le document au destinataire.
  5. Tout d’abord, le destinataire déchiffre le document à l’aide d’une clé publique reçue de l’expéditeur. Ceci modifie à nouveau la signature en synthèse du message. En cas de réussite, cela prouve que le document a bien été signé par l’expéditeur.
  6. Le destinataire, à l’aide d’un logiciel de signature numérique, hache le document dans une synthèse du message et compare ce hachage à celui de l’expéditeur. S’ils correspondent, cela indique que le contenu du document n’a pas été modifié depuis que le document a été envoyé par l’expéditeur.

Les signatures numériques sont disponibles depuis Office XP. Cependant, Office 2007 disposait de fonctionnalités supplémentaires permettant aux utilisateurs de signer numériquement des documents, signer des documents pour les définir en lecture seule et d’ajouter des lignes de signature dans un document plus facilement. Office utilisateurs peuvent effectuer ces tâches à partir Office’interface utilisateur disponible sous l’onglet Fichier.

Office 2007 a également introduit des membres qui facilitent l’utilisation de signatures en ligne et de signatures numériques par programme.

Déployer des add-ins COM gérés dans Office sécurisé

Pour se conformer à la sécurité Office, les compl?ments COM gérés (compl?ments COM ciblant le common language runtime) doivent être signés numériquement et les paramètres de sécurité des utilisateurs doivent être d ment s dans le Centre de gestion de la trust Office pour autoriser les compl?ments dans vos applications Office. En outre, vous pouvez incorporer dans votre projet de complément COM géré un petit proxy non géré appelé shim pour éviter les avertissements de sécurité inattendus.

Automatiser l’éditeur Visual Basic de publication

Dans Office, lorsque vous appelez les fonctionnalités du modèle objet d’extensibilité Visual Basic pour Applications, vous pouvez recevoir un message d’erreur vous demandant d’accéder par programme au projet Visual Basic n’est pas approuvé. Pour empêcher l’apparition de ce message, sélectionnez l’onglet Fichier > l’onglet OptionsTrust > Center, puis choisissez Centre de Paramètres. Ensuite, sous l’onglet Paramètres macro, choisissez l’accès d’confiance à la zone du modèle objet de projet VBA. En cochant cette case, vous autorisez les macros de tous les documents à macros que vous ouvrez à accéder aux objets, méthodes et propriétés Visual Basic principaux.

La définition de cette option représente une éventuelle brèche de sécurité. Il est recommandé d’activer la case Accès approuvé au modèle d’objet du projet VBA uniquement lorsqu’une macro doit accéder au modèle d’objet Visual Basic. Assurez-vous de désactiver la case Accès approuvé au modèle d’objet du projet VBA une fois la macro exécutée.

Utiliser des mots de passe

Évitez d’utiliser des mots de passe codés en dur dans vos applications. Si un mot de passe est requis dans une procédure, demandez-le à l’utilisateur, stockez-le dans une variable, puis utilisez la variable dans votre code.

Utilisez toujours des mots de passe forts. Les mots de passe forts doivent contenir :

  • Caractères minuscules et en minuscules
  • Nombres
  • Symboles (tels que #, $, %et ^)
  • Au moins huit caractères

Les mots de passe forts ne doivent pas contenir de texte récurrent, de thèmes ou de mots se trouvant dans un dictionnaire.

Des exemples de mots de passe sont :

  • $tR0n9p@$s
  • G80dn[s$M4!

Notes

Vous devez changer votre mot de passe régulièrement ; par exemple, tous les 1 à 3 mois.

Assistance et commentaires

Avez-vous des questions ou des commentaires sur Office VBA ou sur cette documentation ? Consultez la rubrique concernant l’assistance pour Office VBA et l’envoi de commentaires afin d’obtenir des instructions pour recevoir une assistance et envoyer vos commentaires.