Dans les processus de gouvernance et de conformité en cybersécurité, l'exportation de données est une routine quotidienne. Qu'il s'agisse de fournir un rapport d'incidents consolidé pour un audit NIS 2, d'extraire la liste des machines non conformes pour la direction, ou de générer l'historique de facturation mensuelle pour un client MSSP, le format CSV (Comma-Separated Values) est le standard absolu de l'industrie. C'est un format simple, universel et facilement lisible par des logiciels comme Microsoft Excel ou Google Sheets.
Cependant, cette simplicité cache une vulnérabilité logicielle sournoise et trop souvent ignorée des équipes de sécurité : l'injection CSV (ou Formula Injection). Un attaquant peut manipuler les données de son attaque pour piéger le fichier d'exportation et prendre le contrôle de l'ordinateur de l'administrateur ou du comptable qui ouvrira le document. Décryptons le fonctionnement de cette faille et la méthode chirurgicale pour s'en protéger.
Le mécanisme de la Formula Injection (L'attaque par tableur)
Comment fonctionne une injection CSV ? L'attaque ne cible pas le serveur SaaS qui génère le fichier, mais l'application cliente (le tableur Excel) qui va l'interpréter.
Microsoft Excel et les tableurs modernes ont une fonctionnalité native : si une cellule de texte commence par un symbole mathématique comme = (égal), + (plus), - (moins) ou @ (arobase), le logiciel n'affiche pas le texte brut, il l'interprète comme une formule dynamique.
Un attaquant malveillant qui sait que vos équipes SOC exportent régulièrement l'historique des incidents va volontairement renommer son appareil compromis ou injecter une chaîne de caractères spécifique au sein de sa charge utile (payload).
Par exemple, il va configurer son nom de machine ou sa ligne de commande suspecte pour qu'elle s'intitule :
=CMD|'/c calc.exe'!A1
Le scénario de l'infection
- Microsoft Defender détecte l'alerte sur la machine portant ce nom malveillant et la transmet à l'orchestrateur SOC.
- En fin de mois, l'administrateur système ou le prestataire MSSP se rend sur la page des paramètres d'Akuity SOC et clique sur "Générer une archive CSV" pour extraire l'historique complet des tickets.
- L'application génère le fichier proprement et l'envoie par e-mail ou téléchargement direct.
- L'administrateur (ou le service comptable pour la facturation des incidents consommés) ouvre le fichier dans Microsoft Excel.
- Excel rencontre la cellule commençant par
=. Il interprète la commande dynamiqueCMD, exécute le protocole d'échange de données (DDE) de Windows, et lance l'invite de commandes pour exécuter du code malveillant (dans cet exemple basique, l'ouverture de la calculatricecalc.exe). Le pirate vient de pirater l'ordinateur de l'administrateur de sécurité.
La riposte d'Akuity : La sanitization automatique des exports
Face à ce risque critique qui menace directement la reddition de comptes et la confiance des entreprises, une plateforme de cybersécurité de niveau entreprise ne peut pas se contenter de rejeter la faute sur les faiblesses de Microsoft Excel. Elle doit appliquer un nettoyage strict des données (Sanitization) avant la génération du fichier.
C'est l'architecture défensive mise en œuvre au sein du module d'exportation de la gestion des paramètres d'Akuity SOC.
La règle de l'apostrophe de sécurité
Lorsque vous déclenchez la génération d'une archive CSV (ou d'un rapport de facturation consolidé réservé aux Super-Administrateurs), le moteur backend de la plateforme passe en revue chaque cellule textuelle avant de l'écrire dans le fichier d'export.
Si une donnée (qu'il s'agisse d'un nom d'utilisateur, d'un titre de ticket, ou d'une description d'IOC) débute par l'un des quatre caractères déclencheurs de formules (=, +, -, @), le système applique instantanément un modificateur de sécurité : il préfixe la cellule avec une apostrophe simple (').