Avec Office 2024, Microsoft poursuit la mise en retrait d’ActiveX

Le coup de grâce pour les contrôles ActiveX sur Office ? Non, mais une nouvelle étape de leur mise en retrait.

Ils seront effectivement désactivés par défaut avec Office 2024, qui sortira en octobre. Ce changement concernera Word, Excel, PowerPoint et Visio, dans leurs versions Win32. Il ne s’appliquera aux apps Microsoft 365 qu’à partir d’avril 2025.

À l’heure actuelle, le comportement par défaut correspond à l’option « Me demander avant d’activer tous les contrôles avec des restrictions minimales ». Il se traduit différemment en fonction de la présence ou non d’un projet VBA et du marquage SFI. Il peut résulter en l’affichage d’un bouton qui permet à l’utilisateur d’activer les contrôles.

Au-delà d’ActiveX, la chasse aux macros Office

Le nouveau mode correspondra à « Désactiver tous les contrôles sans notification ». Certains contrôles continueront à apparaître comme des images statiques (pas d’interactivité).
Pour réactiver leur exécution, il faudra soit passer par le Centre de gestion de la confidentialité, soit modifier une valeur de registre, soit mettre à 0 la stratégie « Désactiver tout ActiveX ».

Cette modification n’empêchera pas l’usage d’objets COM (dont les contrôles ActiveX sont une implémentation). Elle resserre toutefois un peu plus l’étau sur une technologie régulièrement sujette à des failles de sécurité. Cette année encore, Microsoft en a corrigé une importante qui pouvait engendrer l’exécution de code arbitraire à distance.

Parallèlement aux contrôles ActiveX, Microsoft tente d’encadrer, pour les mêmes questions, l’usage des macros Office. Celles contenues dans des fichiers provenant d’Internet sont aujourd’hui bloquées par défaut sur certaines applications de la suite. Pour les activer, il faut se rendre dans les propriétés du document et cocher une case. Une règle qui n’intervient toutefois qu’en fin de chaîne, après vérification d’autres paramètres.

Illustration © Microsoft