Gmail : il ne sera plus possible d'envoyer des fichiers JavaScript par email
Pour des raisons de sécurité
Le 2017-01-26 22:08:50, par Coriolan, Expert éminent sénior
Google a annoncé que les fichiers JavaScript (.js) ne pourront plus être attachés aux messages envoyés par Gmail. Pour des raisons de sécurité, ces scripts ne pourront plus être envoyés en tant que pièces jointes, Google recommande désormais aux utilisateurs habitués à cette pratique de passer à d’autres services pour les partager.
Cette mesure va entrer en vigueur à partir du 13 février prochain et fait partie des derniers efforts du géant de la recherche pour contrecarrer la montée en puissance des attaques informatiques et les pièges conçus pour faire tomber des victimes en recourant aux pièces jointes, comme les attaques d’hameçonnage et différents genres de messages de spam. « Gmail restreint actuellement certains types de fichiers (.exe, .msc et .bat) pour des raisons de sécurité et à partir du 13 février 2017, nous n’autoriserons plus les pièces jointes contenant des fichiers .js. Comme pour les autres fichiers prohibés, vous ne pourrez plus attacher un fichier .js, au lieu de cela, vous verrez un message d’alerte expliquant le motif de ce choix par l’éditeur », a expliqué Google dans un billet de blog.
Pour ceux qui sont habitués à partager des fichiers .js par email, Google recommande de passer à Google Drive, Google Cloud Storage ou d’autres solutions de stockage permettant de partager et envoyer des fichiers.
Aperçu du message d'alerte de Gmail
Les autres types de fichiers qui ne peuvent pas être envoyés sur Gmail incluent : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail peut même scanner les versions compressées de ces fichiers dans des archives .ZIP et .RAR afin de bloquer leur envoi. Le service de messagerie bloque également les fichiers et les archives protégés par mot de passe qui peuvent être utilisés pour mener des attaques malicieuses sur les victimes.
La plupart de ces fichiers ont un point commun, ils sont exécutables. Pour cette raison, ils peuvent être exploités par les pirates informatiques pour mener des attaques sur leurs cibles et les infecter. Les fichiers .js sont particulièrement dangereux puisqu’ils permettent d’exécuter automatiquement le Windows Scripting Host (WSH), un logiciel permettant d’exécuter des scripts directement sur le système d’exploitation Windows.
Il faut savoir que des cas de ransomwares se propageant par fichiers .js ont été détectés par le passé. Des rapports indiquent que les cybercriminels recourent de plus en plus à l’email pour infecter les victimes, malgré les campagnes de sensibilisation. Des fichiers Word aux fichiers .js bien cachés dans des archives .zip, ces techniques permettent aux pirates informatiques d’extorquer des milliards de dollars aux victimes.
Source : blog G Suite
Et vous ?
Voir aussi :
Cette mesure va entrer en vigueur à partir du 13 février prochain et fait partie des derniers efforts du géant de la recherche pour contrecarrer la montée en puissance des attaques informatiques et les pièges conçus pour faire tomber des victimes en recourant aux pièces jointes, comme les attaques d’hameçonnage et différents genres de messages de spam. « Gmail restreint actuellement certains types de fichiers (.exe, .msc et .bat) pour des raisons de sécurité et à partir du 13 février 2017, nous n’autoriserons plus les pièces jointes contenant des fichiers .js. Comme pour les autres fichiers prohibés, vous ne pourrez plus attacher un fichier .js, au lieu de cela, vous verrez un message d’alerte expliquant le motif de ce choix par l’éditeur », a expliqué Google dans un billet de blog.
Pour ceux qui sont habitués à partager des fichiers .js par email, Google recommande de passer à Google Drive, Google Cloud Storage ou d’autres solutions de stockage permettant de partager et envoyer des fichiers.
Aperçu du message d'alerte de Gmail
Les autres types de fichiers qui ne peuvent pas être envoyés sur Gmail incluent : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail peut même scanner les versions compressées de ces fichiers dans des archives .ZIP et .RAR afin de bloquer leur envoi. Le service de messagerie bloque également les fichiers et les archives protégés par mot de passe qui peuvent être utilisés pour mener des attaques malicieuses sur les victimes.
La plupart de ces fichiers ont un point commun, ils sont exécutables. Pour cette raison, ils peuvent être exploités par les pirates informatiques pour mener des attaques sur leurs cibles et les infecter. Les fichiers .js sont particulièrement dangereux puisqu’ils permettent d’exécuter automatiquement le Windows Scripting Host (WSH), un logiciel permettant d’exécuter des scripts directement sur le système d’exploitation Windows.
Il faut savoir que des cas de ransomwares se propageant par fichiers .js ont été détectés par le passé. Des rapports indiquent que les cybercriminels recourent de plus en plus à l’email pour infecter les victimes, malgré les campagnes de sensibilisation. Des fichiers Word aux fichiers .js bien cachés dans des archives .zip, ces techniques permettent aux pirates informatiques d’extorquer des milliards de dollars aux victimes.
Source : blog G Suite
Et vous ?
Voir aussi :
-
GugelhupfModérateurEn tant que développeur, il m'arrive parfois d'envoyer des mails contenant des scripts en pièce jointe. Il est toujours possible de placer ses scripts dans un fichier compressé, les serveurs de Google (et autres) ne prennent pas la peine d'analyser le contenu en profondeur.le 26/01/2017 à 22:33
-
MichelMembre expérimentéOn pourrait imaginer que par défaut, une pièce jointe en javascript soit interdite mais en modifiant son profil,un développeur pourrait l'autoriser.
Une remarque, en passant; est-ce bien sérieux d'utiliser Gmail pour un développeur ! Il y a de nombreux serveurs mail et certains sont même compris dans le pack internet.
Je dis cela, je ne sdis rien ....le 27/01/2017 à 18:30 -
Matthieu VergneExpert éminentEst-ce qu'il parle des mails en général ou juste de Gmail ? Je comprendrais mieux la remarque dans le premier cas, mais ça ressemble plus au second.le 28/01/2017 à 6:36
-
MichelMembre expérimentéQuand je parle de pack, personnellement je suis chez proximus (Belgique) et j'ai une vrai boite mail accessible par le client thunderbird (imap) mais je pourrais aussi utiliser celle d'OVH chez qui j'ai un site mutualisé.
Il n'est donc pa nécessaire de casser sa tirelire ou de faire tourner son pc pour avoir une vrai adresse.
J'ai même utilisé la boite de laposte.net qui était gratuite et fonctionne toujours !le 28/01/2017 à 9:51 -
Matthieu VergneExpert éminentSauf qu'il met en cause le sérieux des dévs ayant une adresse Gmail. Je suis un nomade, je n'ai donc pas d'abonnement Internet à mon nom et me contente des accès WiFi que je peux utiliser au boulot ou là où je loge. Et comme dit précédemment, j'ai bien un serveur avec un nom de domaine, je peux donc effectivement avoir une adresse 100% perso, mais avec le peu de temps que j'ai passé sur la mise en place d'une boîte ça ne marche pas encore. Pourtant, j'en fais des choses avec mon serveur. Me faire qualifier de "pas sérieux" dans ces conditions ne me semble pas des plus justifié.le 29/01/2017 à 15:46
-
Matthieu VergneExpert éminentIls ont déjà fait leur langage de programmation Go.le 30/01/2017 à 9:04
-
earhaterMembre éprouvéPour le coup la boite nous paye un abonnement à dropbox, du coup un petit clic droit partager fait le taff. Mais pendant longtemps partager un petit script était bien pratique, je pense qu'un service comme pastebin ou autre fera toujours le taff. Sinon slack foreverle 26/01/2017 à 23:49
-
SongbirdMembre expertOui mais non, parce qu'une extension ne permet que de différencier un fichier d'un autre, ni plus ni moins.Il suffira donc de changer l'extension du fichier pour y mettre un .patate à la place. Incroyable....
Pour détecter la nature d'un fichier, on peut utiliser les nombres magiques ou, à la limite, effectuer une analyse de la grammaire du fichier pour voir si c'est un fichier javascript valide.le 27/01/2017 à 0:53 -
KaiidoNouveau Candidat au ClubNon mais non, parce que un fichier js est juste un fichier text/plain, comme beaucoup d'autres fichiers contenant des scripts interprétés.
Les signatures de fichiers dont vous parlez n'existent que pour les fichiers binaires.
Bien qu'il y ait différents MIME-Type pour les fichiers scripts javascript (text/javascript , application/javascript, et même text/ecmascript, vous n'avez aucun moyen de savoir s'il sagit vraiment d'un fichier javascript avant de l'avoir interprété (et même dans ce cas vous ne pouvez pas être sûr qu'un script dans un autre language n'y a pas été dissimulé) et surtout, vous pouvez nommer votre fichier avec n'importe quelle extension, et même sans extension, et même sans fichier, directement dans le corps du mail.
Je trouve cette annonce très déplaisante et ne la considère en fait que comme un très mauvais 'workaround' d'une réelle faille dans un logiciel Windows, qui va malheureusement pénaliser tout le monde alors que c'était bien aux développeurs de ce Windows Scripting Host de combler leurs failles.le 27/01/2017 à 7:09 -
Matthieu VergneExpert éminentAutant je comprends d'interdire leur envoi en direct, pour éviter les exécutions automatiques, mais interdire l'envoi au format compressé me dépasse totalement, vu que le fichier doit dés lors être intentionnellement décompressé (on parle de zip, pas d'exécutable avec auto-décompression) et donc on ne parle plus de fichiers qui se lancerait à l'insu de l'utilisateur. Autrement, pourquoi ne pas interdire par exemple les fichiers Excel, qui peuvent avoir des macros dangereuses, ou que sais-je encore ? La logique m'échappe.le 27/01/2017 à 12:50