Passer au contenu

Editer un fichier Excel verrouillé par mot de passe grâce à Google Docs

Vous devez travailler sur un document Excel verrouillé par mot de passe et vous n’avez pas le mot de passe ? Qu’à cela ne tienne, ouvrez-le dans Google Docs et plus besoin de mot de passe !

Un petit truc que j’ignorais (et je pense que je ne suis pas le seul) et que j’ai découvert par hasard récemment alors que je devais travailler sur un fichier Excel. L’auteur dudit fichier l’avait verrouillé par mot de passe mais avait juste oublié de me transmettre ce dernier en me l’envoyant, puis était parti en vacances, injoignable durant les fêtes…

Comme je devais absolument avancer sur ce petit dossier en modifiant quelques données contenues dans le fichier XLS, j’ai tout simplement tenté le truc sans grand espoir : importer et ouvrir le fichier dans Google Documents. Bingo : le fichier s’est ouvert sans mot de passe en mode éditable, et j’ai pu le modifier sans problème dans mon navigateur, et notamment changer les variables contenues dans les cellules.

Et pas seulement le modifier, mais également l’enregistrer de nouveau au format XLS, sans mot de passe cette fois. Autrement dit, dans ce cas précis, Google Docs permet de faire sauter le verrou d’un document Excel, ou en quelque sorte de le cracker.

Je n’ai pas poussé mes investigations plus loin, je ne sais pas si on peut parler de faille et si cela fonctionne dans tous les cas et avec toutes les configurations, et peut-être que c’est un truc connu, mais comme je n’utilise pratiquement jamais Excel c’est une découverte pour moi et je me suis dit que cela serait peut-être utile de le partager. Voilà voilà. Maintenant si ça ne marche pas chez vous indiquez-le dans les commentaires (sans m’engueuler si possible).

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
31 commentaires
31 commentaires
  1. la faille, elle est surtout dans la tête des utilisateurs qui mettent un mot de passe sur un document microsoftien (et qui pensent être réellement protégé sinon, pourquoi mettrait-il un mdp ?)

  2. A mon avis, celà doit marcher pour les autres logiciels de la suite office. Google doit tout simplement “bypasser” l’authentification par mot de passe pour l’ouvrir dans son “viewer” web.

    en tout cas merci, google !

  3. Bonjour,

    Intrigué par cette news, j’ai voulu faire quelques tests.
    J’ai donc téléchargé deux fichiers, un premier au format Excel 2010 avec un mot de passe à l’ouverture et un second au format LibreOffice protégé de la même façon.
    Aucun des deux fichiers ne se sont ouvert dans Google.

    Il existe différentes possibilités de mot de passe sur les documents de type tableur. Celle que j’ai utilisé semble ne pas être exploitable par Google.

    Je sais qu’il est également possible de protéger un document à l’édition, il s’ouvre donc par défaut en lecture seule. Je n’ai pas fait le test, mais peut-être est-ce de cette protection que google ne tiens pas compte?

    Bien à vous.

  4. Je viens de faire l’essai, j’ai une erreur lors de l’importation.

    Ça me parait étonnant que Google Docs puisse faire ça, car je pense que le fichier Excel doit être crypté avec une méthode assez robuste. Je pense pas que Google crame du temps processeur pour craquer le mot de passe…

    1. @Cook : commentaire intéressant. Chez moi ça a marché, maintenant peut-être que ça ne marche pas chez tout le monde selon les configurations, les versions, etc…

  5. C’est vrai que l’on n’y pense pas forcément mais à partir du moment où un document, quel qu’il soit (cela concerne la video et le son également donc), est lisible … on en fait ce qu’on veut !

    Et Google Doc ne fait pas mieux.
    Ce n’est donc pas une faille et encore moins un cracking mais une application d’un principe général.

    Rappelons-nous l’histoire des morceaux noircis des documents PDF.
    Dans la mesure où il ne s’agit que d’une convention et non d’une réelle obfuscation, un lecteur respectueux de la convention (Acrobat reader) affichera ces zones noircies tandis que les autres ne le feront pas.

    Il serait intéressant de voir si Open/LibreOffice respecte la convention tiens.

    En revanche pas de mystère si le document Excel est protégé en lecture également.

    db

  6. J’ai fait une petite mise à jour prudente de mon article, en indiquant que ça avait marché chez moi mais que ça ne marchait peut-être pas chez tout le monde…

  7. @Eric
    Si ça ne fonctionne pas chez certains c’est qu’ils disposent d’une version (Entreprise ?) qui respecte la convention, c’est tout.

    La possibilité de lire un document MS-Excel est une facilité qui est offerte par Google.

    Rien ne l’oblige à aller jusqu’au respect de TOUTES les fonctionnalités d’un MS-Excel.

    db

  8. @Gourmet : ok, merci de ces précisions. Je ne peux malheureusement pas mettre de screenshot ni de vidéo pour le prouver car c’est un doc confidentiel.

  9. Facile !
    Je pense que le document confidentiel a bien un onglet vide non ?
    Sinon, je peux t’en filer des tonnes de documents Excel vides protégés en lecture.
    db

  10. Pour bien fixer les choses j’ai donc produit un fichier Excel protégé en modification avec l’algorithme RC4.
    Sans surprise LibreOffice ouvre ce document en lecture seule (il respecte la convention à l’ouverture du fichier).
    Il suffit de sauvegarder tel quel ce document ouvert pour retrouver l’usage des cellules en modification (LibreOffice ne propage pas la convention dans ses propres options).

    Si l’on reçoit un tel fichier MS-Excel par courriel, il suffit donc de l’ouvrir avec un éditeur non MS et de le sauvegarder une fois pour faire disparaître la convention.
    db

  11. A partir d’Office 2007 le système de protection via le mot de passe est solide (AES 128 bits est utilisé ET c’est l’algorithme par défaut. Sur 2003 il y avait cette possibilité mais ce n’était pas celle par défaut).

    Étant donné que vous mentionnez un “fichier xls” alors que les versions courantes utilisent XLSX il se peut qu’il ait été créé avec une version ancienne ou bien sauvegardé en “mode compatible”.

  12. En relisant l’article (cette fois tous les mots :)) il semblerait que le fichier ait pu être lit (mais pas modifié) ?

    Si c’est le cas la protection n’est qu’esthétique et, comme signalé dans d’autres commentaires plus haut, liée au bon vouloir des logiciels (ils peuvent honorer le blocage ou pas).

  13. @Gourmet: ce n’est pas tout a fait vrai – la signature numérique sert justement à pouvoir affirmer (entre autres) qu’un document qui est lu n’a pas été modifié.

    (cela n’a rien à voir avec le cas Excel – Google Docs du post, mais vu que l’on commence la partie philosophique du sujet … 🙂

  14. Chez moi ça a fonctionné en mettant une simple protection par mot de passe sur un onglet d’un document Excel 2010.
    Importé dans Google doc sans aucun soucis puis ré-enregistré sur mon disque dur en version 2003 sans aucun mot de passe.
    Merci pour l’astuce en tous cas car certaines personnes abusent un peu trop des protections d’onglets 😉

  15. @Wojtek
    Une signature n’interdit en rien la modification d’un document.
    Simplement on sait alors qu’il a été modifié, c’est tout.

    Mais c’est un débat qui peut ne pas en finir effectivement car on aborde ensuite la question de la présentation.
    Si l’on présente le document modifié à ceux qui ont également en possession le document original il se rendront compte qu’il a été modifié.

    Si on le présente, débarrassé de toute signature, à des lecteurs qui n’ont jamais entendu parler de l’original, personne ne se rendra compte de rien.

    Mon post original n’abordait nullement ces questions d’intégrité, de traçabilité voire de force probante d’un document mais uniquement la question de la disponibilité de celui-ci ; en clair sa mise à disposition d’un grand nombre malgré des protections.

    db

  16. @Gourmet: la caractéristique d’une signature numérique est, entre autres, la non-possibilité de modifier le document sans la fausser (principe d’inaltérabilité).

    Bien sûr on peut toujours prendre le contenu d’un document (recopier, prendre une photo, …) et le renvoyer. Ce n’est plus le même document et si le destinataire ne s’attend pas à un document signé il peut être, comme vous l’avez mentionné, trompé.

    Tout cela pour dire que (je cite) “Principe général : ce qui peut être lu, vu ou entendu pourra toujours être modifié” n’est pas tout à fait exact car si l’on travaille à travers des documents signés (par accord mutuel ou bien légalement forcés) le fait de pouvoir les lire correctement nous assure aussi qu’ils n’ont pas été modifiés.

  17. Bonjour,

    Dans un sens c’est intéressant car cela peut dépanner.

    D’un autre coté que penser de la sécurité sur office s’il est si simple de craquer un mot de passe.

    Attention aux données confidentielles du coup !

    Salutations

  18. bonjour,
    j’ai le mm pb ! un fichier xlsx protégé par un mdp dont je ne me souviens plus.. j’ai essayé votre technique et çà a été rejeté. en creusant plus, j’ai lu sur “http://support.google.com/docs/bin/answer.py?hl=fr&answer=40608” ceci “Vous ne pouvez pas importer des fichiers protégés par mot de passe.”….
    vous avez eu de la chance !!!
    n’auriez vous pas une autre solution à me proposer ?
    cordialement
    Chantal

  19. Google ne peut pas outrepasser le mot de passe du moment que le fichier est crypté (mdp pour l’ouverture du fichier xlsx).

    En regardant de plus près la méthode utilisée (hash en SHA1 + un petit salt (que l’on peut retrouver facilement :p) + AES en surcouche), même Google ne s’amuserait pas à tenter un bruteforce pour des mdp pouvant faire plus de 15 caractères.

    [RESOLU]: Pour les protections de type mdp sur un onglet, une plage et autre, pas de soucis, cela marchera tout aussi bien si vous ouvrez le document avec Open Office. 🙂

  20. @Brice: lorsque l’on a un hash + salt, le salt doit être récupérable facilement car sinon il ne serait pas possible de générer de hash pour la comparaison

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *