Pendant des années, on a cru qu'il s'agissait d'une de ces failles de sécurité oubliées depuis longtemps par le secteur. Découverte en 2009, cette vulnérabilité de Microsoft Excel avait été rapidement corrigée, puis reléguée aux oubliettes, vestige des anciennes versions d'Office. Or, aujourd'hui, le même problème refait surface de manière inattendue. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé que cette vulnérabilité est de nouveau exploitée lors d'attaques réelles. C'est un signal d'alarme pour de nombreux administrateurs informatiques, d'autant plus qu'elle permet à un attaquant de prendre le contrôle total de l'ordinateur de sa victime après l'ouverture d'un fichier Excel spécialement conçu à cet effet. La vulnérabilité, désignée CVE-2009-0238, a été signalée pour la première fois le 24 février 2009. À cette époque, les experts l'ont classée comme présentant un risque très élevé, avec un score CVSS de 9,3 sur 10. Le mécanisme d'attaque est extrêmement dangereux. Le cybercriminel prépare une feuille de calcul spécialement conçue contenant un objet corrompu. La simple ouverture du document permet l'exécution du code malveillant sans consentement supplémentaire. Ce scénario permet à l'attaquant d'installer des programmes, de supprimer des données, de modifier des fichiers et de créer de nouveaux comptes d'administrateur. Concrètement, cela signifie qu'un simple fichier envoyé par courriel peut permettre à un criminel d'accéder à l'intégralité du système.

La décision de la CISA d'ajouter cette vulnérabilité à son catalogue des vulnérabilités exploitées connues a suscité une vive polémique. Ce catalogue recense les failles qui ne constituent pas de simples menaces théoriques, mais qui ont été confirmées lors de cyberattaques réelles. Les agences fédérales américaines ont reçu l'ordre de sécuriser leurs systèmes sous deux semaines. Un délai aussi court est rare et témoigne du sérieux avec lequel la menace est prise. La CISA n'a pas précisé quels groupes étaient à l'origine de cette nouvelle vague d'attaques, ni quelles organisations étaient visées par la vulnérabilité. Toutefois, la simple réactivation d'une faille vieille de près de vingt ans a suffi à susciter l'inquiétude dans le monde de la cybersécurité. La bonne nouvelle est que ce problème ne concerne que les versions très anciennes d'Excel. Les versions principalement concernées sont Office 2000, Office XP, Office 2003 et certaines versions antérieures d'Office 2007. Les anciennes versions d'Excel installées sur les ordinateurs Apple Mac, datant de plusieurs années, sont également concernées. Les utilisateurs de la suite Microsoft 365 moderne ou des versions plus récentes d'Office ne devraient pas être vulnérables à cette attaque. Le problème survient lorsque les entreprises possèdent encore des ordinateurs anciens, des systèmes obsolètes ou des postes de travail isolés utilisant des logiciels anciens.

Les experts constatent que les cybercriminels sont de plus en plus enclins à exploiter d'anciennes vulnérabilités. La raison est simple : de nombreuses entreprises se concentrent sur les menaces les plus récentes, laissant des appareils et des applications non mis à jour sur leurs réseaux pendant des années. Cette situation arrange bien les attaquants. Inutile de chercher de nouvelles vulnérabilités : ils peuvent exploiter des mécanismes bien connus depuis plus de dix ans. Il leur suffit de trouver une organisation qui utilise encore un logiciel obsolète. Par le passé, des criminels ont exploité à maintes reprises d'anciennes failles de sécurité de Microsoft Office pour diffuser des chevaux de Troie, des rançongiciels et des logiciels espions. Aujourd'hui, un autre mécanisme ancien, que beaucoup croyaient indémontable, refait surface.