À partir du 13 février, Google n'autorisera plus les pièces jointes JavaScript sur son service Gmail. Le service de messagerie compte ainsi fermer l’un des principaux canaux utilisés au cours de ces deux dernières années pour distribuer des logiciels malveillants. Les utilisateurs ne pourront plus joindre de fichiers .JS aux courriels Gmail, directement ou sous forme d’archives du type .gz, .bz2, .zip ou .tgz. Néanmoins, s’ils doivent impérativement partager ces fichiers par courrier électronique, ils pourront les télécharger sur un service de stockage, Google Drive éventuellement, puis partager le lien.

L'extension de fichier .JS sera ajoutée à la liste des fichiers déjà interdits par le service de messagerie. À savoir : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS,. ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF et .WSH. Pendant longtemps, la plupart de ces formats de fichiers ont été utilisés par les cybercriminels pour envoyer des logiciels malveillants par courrier électronique. Et il s’est produit la même chose avec les fichiers .JS ces deux dernières années. C’est d'autant plus préjudiciable que les fichiers JavaScript peuvent être exécutés directement sur Windows grâce à un composant système appelé Windows Script Host (WSH).

Un vecteur pour les ransomwares

Les fichiers JavaScript, qui sont généralement masqués, peuvent servir de téléchargeurs pour d'autres logiciels malveillants et la solution est très prisée des auteurs de ransomware. Des menaces répandues comme TeslaCrypt et Locky ont utilisé cette méthode de distribution et un ransomware particulier appelé RAA a été complètement écrit en JavaScript. « Il faut se méfier des emails comportant des pièces jointes JavaScript », ont averti les chercheurs du Centre de protection contre les logiciels malveillants de Microsoft dans un message publié en avril. « Il est rare et même suspect que des gens envoient des applications dans le format de fichier JavaScript pur (des fichiers avec l’extension .js ou .jse) par courrier électronique. Il ne faut surtout ni cliquer dessus, ni les ouvrir ».

D'autres fichiers de script comme .VBS (VBScript), .VBE (VBScript Encoded), .WSH (Windows Script Host Settings File) et .WSF (Windows Script File), déjà bloqué par Gmail, peuvent être utilisés de la même façon. En règle générale, il ne faut jamais ouvrir un fichier dont on ne reconnait pas le type. Même si l’on veut recevoir occasionnellement ce type de fichiers, il est toujours préférable de vérifier la source avant de les ouvrir et d’éviter de les partager avec d’autres par courrier électronique.