Vous avez peut-être vu une notification indiquant que les choses changent dans votre boîte de réception. À partir de février 2017, Gmail a modifié sa politique concernant JavaScript. Voici pourquoi cela change et comment vous pouvez vous protéger contre le JavaScript malveillant.
Qu’est-ce que JavaScript, de toute façon?
JavaScript (à ne pas confondre avec Java, un langage de programmation distinct avec un nom similaire) n’est pas intrinsèquement dangereux ou malveillant. En fait, cette page que vous lisez actuellement utilise JavaScript, comme la plupart des pages Web modernes. JavaScript est un langage de programmation stocké en texte brut et exécuté par divers programmes, y compris les navigateurs Web. Cela diffère des programmes écrits en texte brut et compilé pour être exécuté en tant que «binaire», comme la plupart des programmes installés sur votre PC.
JavaScript existe depuis le milieu des années 90. Cette langue importante a vu sa première version créée en à peine 10 jours par Brendan Eich pour être utilisée dans la première version de Netscape Navigator. Une réalisation importante, Eich est devenu le co-fondateur et CTO de Mozilla, la société qui gère Firefox. Tous les navigateurs Web modernes peuvent exécuter JavaScript, ajoutant de la complexité et une logique de programmation à la conception Web, ce qui n’était pas possible avec du HTML simple.
Parce que tant de gens avaient besoin de JavaScript sur le Web en pleine croissance des années 90 et du début des années 2000, sa popularité auprès des codeurs a augmenté de façon exponentielle. Actuellement, c’est probablement la langue la plus populaire sur le Web.
Avec l’explosion de la popularité de JavaScript et la complexité croissante du Web, Google a publié son navigateur Chrome et V8, un moteur open source pour exécuter efficacement du code JavaScript. Avec sa sortie en 2008, il a accéléré les vitesses de chargement des pages Web et de JavaScript, et a conduit à encore plus d’utilisations l’année suivante.
Les développeurs intelligents ont pris le moteur V8 du projet Chrome et a publié une application côté serveur appelée Node.js en 2009. Cela permettait à un serveur de faire des choses comme stocker et récupérer des fichiers et diffuser des pages Web, mais en utilisant uniquement JavaScript. Cela signifie que les développeurs peuvent utiliser leurs connaissances déjà existantes en JavaScript et n’ont pas à apprendre de nouveaux langages. Node a commencé à remplacer PHP et Python pour de nombreuses nouvelles applications et sites Web, et sa popularité auprès des développeurs ne cesse de croître.
Pourquoi Gmail le bloque-t-il?
Parce que JavaScript est partout, vous pouvez supposer qu’il peut être exécuté par un million de choses. Beaucoup de gens peuvent l’écrire, il peut être exploité. Cela ne le rend pas pire que les macros MS Office ou les pièces jointes aux e-mails, mais cela risque d’être mal utilisé.
Les experts en sécurité ont noté une tendance à l’augmentation des logiciels malveillants écrits en JavaScript. Ceux-ci sont souvent envoyés par e-mail, déguisés en CV, ou en message d’hameçonnage ciblant les entreprises, ou en affirmant que la pièce jointe «suivra une commande récente». Il s’agit d’une sorte d’injection de logiciels malveillants de type «cheval de Troie» (ou simplement «cheval de Troie»), car elle a besoin d’un utilisateur sans méfiance pour télécharger, ouvrir, exécuter ou installer des morceaux de code malveillants.
Une tendance récente effrayante des dernières années est le Ransomware. Si vous avez accès à votre ordinateur, un programme JavaScript peut installer un logiciel pour transformer vos fichiers importants en charabia illisible grâce à un processus appelé cryptage, vous obligeant à payer quelqu’un à l’autre bout du monde pour récupérer les fichiers qui étaient les vôtres.
Google conserve une liste des types de fichiers courants utilisés par les créateurs de logiciels malveillantset Gmail les bloque. En raison de l’augmentation de ce type de malware, le type de fichier JavaScript a été ajouté à cette liste. Il est peu probable que cela pose des problèmes à la plupart des utilisateurs, l’exception notable étant que vous êtes un développeur essayant d’envoyer par e-mail un fichier appelé «functions.js» à un collègue. Dans ce cas, vous devrez peut-être partager via Google Drive ou d’autres solutions de partage de fichiers. Mais la plupart des utilisateurs ne remarqueront probablement aucune différence.
JavaScript n’est pas du tout effrayant, mais il peut faire beaucoup de mal à votre ordinateur si vous ne faites pas attention. Alors, tournons notre attention vers ce que vous pouvez faire pour assurer votre sécurité.
Comment puis-je me protéger?
Windows est devenu plus vulnérable à ce type d’attaques, en partie à cause du programme côté utilisateur Windows Script Host, qui peut exécuter des fichiers JavaScript et potentiellement endommager votre système, c’est-à-dire si vous le permettez.
Voici une méthode simple pour éviter cela, sans désactiver complètement les scripts. Vous pouvez configurer Windows pour ouvrir les fichiers .JS avec un programme qui n’exécute pas de code: le Bloc-notes. Voici comment.
Ouvrez le Bloc-notes en cliquant sur votre menu Démarrer et en tapant Bloc-notes.
Avec un fichier vide ouvert, dirigez-vous vers Fichier> Enregistrer sous. Enregistrez le document vierge ouvert sur votre bureau sous Blank.js , en veillant à supprimer l’extension de fichier .txt.
Fermez le bloc-notes. Cliquez avec le bouton droit sur le faux fichier .JS que vous venez de créer et recherchez «Ouvrir avec» dans le menu contextuel. Cliquez sur « Choisir une autre application ».
Choisissez «Bloc-notes» dans la liste et assurez-vous que la case à côté de «Toujours ouvrir avec» est cochée.
Désormais, tous les fichiers JavaScript malveillants que vous ouvrez accidentellement s’ouvriront sans danger dans le Bloc-notes.
Vous pouvez aussi désactiver Windows Script Host par défaut pour votre ordinateur, en veillant à ce que tout type de code qu’il exécute, mauvais ou bon, ne puisse pas être exécuté sans être réactivé. C’est peut-être exagéré, mais c’est une chose raisonnable à faire pour protéger l’ordinateur d’un être cher. Voici une méthode recommandée par Microsoft pour comment désactiver complètement Windows Script Host.
Bien sûr, n’oubliez jamais non plus les bases: n’ouvrez jamais les pièces jointes aux e-mails d’expéditeurs non fiables ou inconnus,. Le simple fait de faire cela réduira à presque rien votre risque pour tous les codes de chevaux de Troie malveillants, car la majorité provient de spam ou de comptes de messagerie piratés.
Et c’est à peu près tout ce que vous devez savoir pour vous protéger de tout mauvais élément de JavaScript. Cependant, à partir du 13 février, vous n’aurez plus à vous soucier de l’envoi de ces fichiers à votre adresse Gmail, car le type de fichier sera entièrement bloqué.
