Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Gmail : il ne sera plus possible d'envoyer des fichiers JavaScript par email
Pour des raisons de sécurité

Le , par Coriolan, Chroniqueur Actualités
Google a annoncé que les fichiers JavaScript (.js) ne pourront plus être attachés aux messages envoyés par Gmail. Pour des raisons de sécurité, ces scripts ne pourront plus être envoyés en tant que pièces jointes, Google recommande désormais aux utilisateurs habitués à cette pratique de passer à d’autres services pour les partager.

Cette mesure va entrer en vigueur à partir du 13 février prochain et fait partie des derniers efforts du géant de la recherche pour contrecarrer la montée en puissance des attaques informatiques et les pièges conçus pour faire tomber des victimes en recourant aux pièces jointes, comme les attaques d’hameçonnage et différents genres de messages de spam. « Gmail restreint actuellement certains types de fichiers (.exe, .msc et .bat) pour des raisons de sécurité et à partir du 13 février 2017, nous n’autoriserons plus les pièces jointes contenant des fichiers .js. Comme pour les autres fichiers prohibés, vous ne pourrez plus attacher un fichier .js, au lieu de cela, vous verrez un message d’alerte expliquant le motif de ce choix par l’éditeur », a expliqué Google dans un billet de blog.

Pour ceux qui sont habitués à partager des fichiers .js par email, Google recommande de passer à Google Drive, Google Cloud Storage ou d’autres solutions de stockage permettant de partager et envoyer des fichiers.


Aperçu du message d'alerte de Gmail

Les autres types de fichiers qui ne peuvent pas être envoyés sur Gmail incluent : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail peut même scanner les versions compressées de ces fichiers dans des archives .ZIP et .RAR afin de bloquer leur envoi. Le service de messagerie bloque également les fichiers et les archives protégés par mot de passe qui peuvent être utilisés pour mener des attaques malicieuses sur les victimes.

La plupart de ces fichiers ont un point commun, ils sont exécutables. Pour cette raison, ils peuvent être exploités par les pirates informatiques pour mener des attaques sur leurs cibles et les infecter. Les fichiers .js sont particulièrement dangereux puisqu’ils permettent d’exécuter automatiquement le Windows Scripting Host (WSH), un logiciel permettant d’exécuter des scripts directement sur le système d’exploitation Windows.

Il faut savoir que des cas de ransomwares se propageant par fichiers .js ont été détectés par le passé. Des rapports indiquent que les cybercriminels recourent de plus en plus à l’email pour infecter les victimes, malgré les campagnes de sensibilisation. Des fichiers Word aux fichiers .js bien cachés dans des archives .zip, ces techniques permettent aux pirates informatiques d’extorquer des milliards de dollars aux victimes.

Source : blog G Suite

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

GoldenEye : un ransomware qui se propage à l'aide de demandes d'emploi et cible les services de ressources humaines


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Gugelhupf Gugelhupf - Modérateur https://www.developpez.com
le 26/01/2017 à 22:33
En tant que développeur, il m'arrive parfois d'envoyer des mails contenant des scripts en pièce jointe. Il est toujours possible de placer ses scripts dans un fichier compressé, les serveurs de Google (et autres) ne prennent pas la peine d'analyser le contenu en profondeur.
Avatar de earhater earhater - Membre averti https://www.developpez.com
le 26/01/2017 à 23:49
Pour le coup la boite nous paye un abonnement à dropbox, du coup un petit clic droit partager fait le taff. Mais pendant longtemps partager un petit script était bien pratique, je pense qu'un service comme pastebin ou autre fera toujours le taff. Sinon slack forever
Avatar de gretro gretro - Membre actif https://www.developpez.com
le 27/01/2017 à 0:33
Il suffira donc de changer l'extension du fichier pour y mettre un .patate à la place. Incroyable....
Avatar de Songbird_ Songbird_ - Rédacteur https://www.developpez.com
le 27/01/2017 à 0:53
Il suffira donc de changer l'extension du fichier pour y mettre un .patate à la place. Incroyable....
Oui mais non, parce qu'une extension ne permet que de différencier un fichier d'un autre, ni plus ni moins.
Pour détecter la nature d'un fichier, on peut utiliser les nombres magiques ou, à la limite, effectuer une analyse de la grammaire du fichier pour voir si c'est un fichier javascript valide.
Avatar de Kaiido Kaiido - Nouveau Candidat au Club https://www.developpez.com
le 27/01/2017 à 7:09
Non mais non, parce que un fichier js est juste un fichier text/plain, comme beaucoup d'autres fichiers contenant des scripts interprétés.

Les signatures de fichiers dont vous parlez n'existent que pour les fichiers binaires.

Bien qu'il y ait différents MIME-Type pour les fichiers scripts javascript (text/javascript , application/javascript, et même text/ecmascript, vous n'avez aucun moyen de savoir s'il sagit vraiment d'un fichier javascript avant de l'avoir interprété (et même dans ce cas vous ne pouvez pas être sûr qu'un script dans un autre language n'y a pas été dissimulé) et surtout, vous pouvez nommer votre fichier avec n'importe quelle extension, et même sans extension, et même sans fichier, directement dans le corps du mail.

Je trouve cette annonce très déplaisante et ne la considère en fait que comme un très mauvais 'workaround' d'une réelle faille dans un logiciel Windows, qui va malheureusement pénaliser tout le monde alors que c'était bien aux développeurs de ce Windows Scripting Host de combler leurs failles.
Avatar de Matthieu Vergne Matthieu Vergne - Expert confirmé https://www.developpez.com
le 27/01/2017 à 12:50
Autant je comprends d'interdire leur envoi en direct, pour éviter les exécutions automatiques, mais interdire l'envoi au format compressé me dépasse totalement, vu que le fichier doit dés lors être intentionnellement décompressé (on parle de zip, pas d'exécutable avec auto-décompression) et donc on ne parle plus de fichiers qui se lancerait à l'insu de l'utilisateur. Autrement, pourquoi ne pas interdire par exemple les fichiers Excel, qui peuvent avoir des macros dangereuses, ou que sais-je encore ? La logique m'échappe.
Avatar de SkyZoThreaD SkyZoThreaD - Membre éprouvé https://www.developpez.com
le 27/01/2017 à 13:07
On est d'accord que le souci est le même avec des xls à macro et même les pdf infectés qui passent crème sur la plupart des messageries
Ceci-dit, l'immense majorité des utilisateurs s'envoient légitimement des pdf et des classeurs par mails. L'impact sur la convenience serait trop important pour trop de personnes.
C'est pas malin du coup par-ce que les attaques sérieuses ne sont jamais des scripts envoyés par mail
Avatar de Michel Michel - Membre averti https://www.developpez.com
le 27/01/2017 à 18:30
On pourrait imaginer que par défaut, une pièce jointe en javascript soit interdite mais en modifiant son profil,un développeur pourrait l'autoriser.
Une remarque, en passant; est-ce bien sérieux d'utiliser Gmail pour un développeur ! Il y a de nombreux serveurs mail et certains sont même compris dans le pack internet.
Je dis cela, je ne sdis rien ....
Avatar de Matthieu Vergne Matthieu Vergne - Expert confirmé https://www.developpez.com
le 27/01/2017 à 18:54
Quand tu parles de pack internet, tu parles que ceux qui ont un abonnement à Internet via Orange ont une boîte mail Orange ? Si c'est ça, ces boîtes là sont souvent bourrées de pub, limitées en fonctionnalités, et orientées avant tout vers te vendre plus de produits de la même marque. Je me trompe ?

Les boîtes mail, chacun son point de vue, mais si on parle de sérieux, à part dire qu'ils devraient être assez compétents pour faire leur propres boîtes mail, je ne vois pas. Et dans ce cas, le soucis est que tenir sa boîte mail c'est bien, mais le PC perso doit tourner continuellement pour recevoir les e-mails, sinon on reçoit des notifications d'échec d'envoi (avec future tentative de prévue, mais si à chaque fois qu'on t'envois un mail on reçoit une notif de ce genre c'est chiant). Ajoute à cela le fait qu'une boîte mail n'est pas si triviale à mettre en place que ça (j'ai essayé, mais ça ne marche pas encore), que le filtrage des spams est encore autre chose à savoir faire, et j'en oublie probablement.
Avatar de SkyZoThreaD SkyZoThreaD - Membre éprouvé https://www.developpez.com
le 27/01/2017 à 19:17
Non, sans déconner, Michel a tout à fait raison. Et je dirais même plus: Quand on prog sérieusement on utilise un git, un svn ou autre équivalent. Les mails c'est sympas mais c'est un boxon innommable.
Enfin, le souci reste entier: Supprimer les scripts des PJ gmail ne sauvera les utilisateurs des pirates faut pas rêver.
Offres d'emploi IT
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Responsable protection des données H/F
Safran - Ile de France - Magny-les-Hameaux (78114)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil