Faire attention aux pièces jointes est une recommandation tellement classique que j’imagine ma mère le dire en même temps que “prends un parapluie” et “mets un chemisier”. Malgré cela, il y a encore beaucoup de gens qui ouvrent des pièces jointes qu’ils ne devraient pas et qui finissent par avoir des problèmes avec des logiciels malveillants. C’est pourquoi Google a pris une décision assez radicale : il va interdire le JavaScript dans les pièces jointes de Gmail.
La mesure entre en vigueur le 13 février. Si vous essayez de joindre un fichier avec une extension .js dans un courriel, l’utilisateur verra un message lui indiquant que ce fichier a été bloqué pour des raisons de sécurité. Le service sera même en mesure de barrer les codes .js qui sont compressés en fichiers comme zip, gzip et bz2.
Ce n’est pas trop de soins. Bien que la sécurité des navigateurs se soit considérablement améliorée ces dernières années, JavaScript est encore largement utilisé pour la diffusion de logiciels malveillants ou l’escroquerie par hameçonnage.
Pour ne citer qu’un exemple récent, les experts en sécurité ont découvert que le code JavaScript est utilisé depuis le milieu de l’année dernière pour diffuser Locky, un logiciel de rançon qui a déjà causé beaucoup de dégâts en bloquant les ordinateurs. Le cas le plus connu est celui d’un hôpital aux États-Unis, qui a dû payer une “rançon” de près de 17 000 euros pour pouvoir à nouveau accéder à des ordinateurs.
Avec cette mesure, l’extension .js rejoint les autres qui sont déjà bloqués dans Gmail, parmi lesquels .bat, .exe et .sys.
Et qu’en est-il de l’utilisateur qui a utilisé Gmail pour envoyer un code JavaScript légitime et sécurisé ? Il existe des moyens plus pratiques pour y parvenir. Google lui-même recommande le partage de fichiers via Google Drive ou un service similaire.