Gmail bloque tous les emails avec des fichiers JavaScript

Depuis la mi-février, toute personne qui essaie d’envoyer un email avec un fichier .js (JavaScript) via Gmail n’aura pas de chance, car il figure désormais sur la liste de Google des restrictions d’extensions pour les pièces jointes.

Ainsi, des utilisateurs de GMail ne pourront plus envoyer ou recevoir des emails avec des fichiers JavaScript. Quiconque enverra un fichier .js à un utilisateur de Gmail, trouvera son email retourné avec une explication concernant la non-livraison.

JavaScript rejoint une liste toujours croissante de types de fichiers, incluant les fichiers .exe et .bat, que Gmail n’autorise plus.

Ce changement peut s’avérer être un ennui mineur pour quelques développeurs de site web ou JavaScript, mais c’est une très bonne nouvelle pour tous les autres. Il semble que les utilisateurs deviennent enfin prudents vis-à-vis de la menace des fichiers malveillants Microsoft Office et l’année dernière nous avons vu une augmentation notable des attaques par email avec des fichiers JavaScript.

Les cybercriminels ont commencé à utiliser des fichiers JavaScript car ils savent que les ordinateurs de nombreux utilisateurs de Windows sont configurés pour les exécuter par défaut à l’aide de Windows Server Host (WSH), en accordant au script malveillant les mêmes privilèges qu’un programme exécutable.

Quel que soit le système d’exploitation, nous vous recommandons vivement d’afficher les extensions de fichiers (souvent cachées par défaut !), afin de voir exactement quel type de fichier vous utilisez, minimisant ainsi le risque d’exécuter un fichier malveillant par accident.

Pour les utilisateurs de Windows, nous vous recommandons également de modifier le comportement par défaut de Windows, afin d’ouvrir des fichiers JavaScript (.js, .jse) avec Notepad et non avec WSH. Vous pouvez lire les instructions sur la façon de faire ces deux changements à la fin de notre article ransomware in your inbox.

Si vous essayez d’envoyer un email avec un fichier .js, Gmail vous enverra un message d’erreur vous indiquant que votre type de fichier n’est pas autorisé et a été “bloqué pour des raisons de sécurité”. Comme alternative, Google vous proposera d’utiliser un stockage externe, comme Google Drive ou Dropbox, et d’insérer le lien vers le fichier en question dans votre email (il n’y a pas de technique pour contourner ce problème en zippant votre fichier, car Google vérifiera à l’intérieur du fichier compressé).

Ne vous faites pas piéger par des emails malveillants

Avec les utilisateurs de GMail incapables à présent de recevoir des fichiers .js malveillants, les cybercriminels vont devoir changer de tactique, il est donc important de rester méfiant vis-à-vis des emails avec et sans pièces jointes.

Rappelez-vous que les cybercriminels contrôlent par ordinateur ou falsifie presque tous les détails d’un email, de telle sorte que vous ne pouvez pas compter sur les informations que vous avez reçues, que ce soit un lien, un numéro de téléphone ou l’expéditeur.

Certains cybercriminels vous faciliteront la tâche grâce à une mauvaise orthographe, un sentiment d’urgence (votre compte a été verrouillé, votre facture est en retard!), des domaines douteux ou des liens courts suspects, mais certains autres ne vous aideront pas. Les cybercriminels savent que le plus simple est le plus efficace et ils savent comment copier et coller des emails officiels.

Si un email provient d’une entreprise ou d’une personne que vous connaissez, vérifiez l’authenticité de l’e-mail en contactant l’expéditeur (apparent) directement.

S’ils veulent vous parler, trouvez un numéro dans votre carnet d’adresses ou sur leur site web que vous pouvez appeler. Si l’email contient des liens qui semblent aller vers leur site web, surtout s’il vous demande de vous connecter, ne cliquez pas dessus. Ignorer les liens présents dans l’email et aller directement sur leur site web en tapant leur adresse dans votre navigateur ou dans le moteur de recherche.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Gmail now blocks all JavaScript email attachments, par Maria Varmazis, Sophos NakedSecurity.