Mardi, Google a discrètement annoncé que Gmail ne supporterait plus les anciennes versions de son navigateur Chrome. Cette décision est un clou de plus planté dans les cercueils de Windows XP et Windows Vista. « À compter du mois de décembre 2017, les utilisateurs de la version 53 et des versions plus anciennes de Chrome seront progressivement redirigés vers la version HTML de base de Gmail », a déclaré Google dans un blog. Dès la semaine prochaine, les utilisateurs concernés par ce changement verront apparaître en haut de Gmail une bannière les invitant à mettre à jour le navigateur de Google. Ce sera notamment le cas des utilisateurs de Chrome v49, la dernière version supportée par Windows XP et Windows Vista.Il y a plus de deux ans et demi, Microsoft a mis officiellement fin au support de Windows XP, mais Gmail avait jusqu’ici maintenu la compatibilité. Quant à Vista Service Pack 2, sa période de support étendue s’achèvera le 11 avril prochain. Google fait remarquer également que les utilisateurs de versions obsolètes de Chrome sont plus vulnérables aux exploits de sécurité, un handicap particulièrement important pour XP, étant donné que Microsoft ne livre plus de correctifs de sécurité pour son ancien système d'exploitation.
Google a invité les administrateurs qui gèrent Chrome pour le compte de leurs utilisateurs effectuent dès maintenant la mise à niveau. Et s’ils ne peuvent le faire parce que l’OS est incompatible, Google leur recommande aussi de trouver une solution. Selon les données de StatCounter établies en décembre 2016, Windows XP représente encore 5 % de la part de marché des navigateurs desktop dans le monde. Ce pourcentage ne représente qu’une fraction de la part toujours croissante de Windows 10, évaluée à 27,2 %, mais il montre qu’il y a encore des résistances.Google vient d’annoncer que les développeurs pouvaient désormais modifier et compiler la version de Chrome pour iOS. Auparavant, ils pouvaient compiler des versions open-source de Chrome pour le web et Android. Avec cette nouvelle mise à jour, Chrome pour iOS rejoint désormais le référentiel de Chromium, le projet de navigateur web open source basé sur le code et le moteur de Google Chrome. En outre, la vitesse de développement est également plus rapide depuis que l'ensemble de la communauté Chromium peut accéder aux tests de Chrome pour iOS et lancer l'exécution automatiquement dès que le code est vérifié, a précisé l'éditeur dans un billet de blog.
Historiquement, le code de Chrome pour iOS était séparé du reste du projet Chromium en raison de la complexité supplémentaire requise pour la plate-forme. La firme de Mountain View Google a travaillé pendant plusieurs années pour faire en sorte que Chrome pour iOS puisse supporter WebKit, le moteur de rendu d’Apple en plus de Blink, son propre moteur de rendu. Pour les développeurs qui veulent en savoir plus, des informations sont disponibles sur ce lien.À partir du 13 février, Google n'autorisera plus les pièces jointes JavaScript sur son service Gmail. Le service de messagerie compte ainsi fermer l’un des principaux canaux utilisés au cours de ces deux dernières années pour distribuer des logiciels malveillants. Les utilisateurs ne pourront plus joindre de fichiers .JS aux courriels Gmail, directement ou sous forme d’archives du type .gz, .bz2, .zip ou .tgz. Néanmoins, s’ils doivent impérativement partager ces fichiers par courrier électronique, ils pourront les télécharger sur un service de stockage, Google Drive éventuellement, puis partager le lien.
L'extension de fichier .JS sera ajoutée à la liste des fichiers déjà interdits par le service de messagerie. À savoir : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS,. ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF et .WSH. Pendant longtemps, la plupart de ces formats de fichiers ont été utilisés par les cybercriminels pour envoyer des logiciels malveillants par courrier électronique. Et il s’est produit la même chose avec les fichiers .JS ces deux dernières années. C’est d'autant plus préjudiciable que les fichiers JavaScript peuvent être exécutés directement sur Windows grâce à un composant système appelé Windows Script Host (WSH).Les fichiers JavaScript, qui sont généralement masqués, peuvent servir de téléchargeurs pour d'autres logiciels malveillants et la solution est très prisée des auteurs de ransomware. Des menaces répandues comme TeslaCrypt et Locky ont utilisé cette méthode de distribution et un ransomware particulier appelé RAA a été complètement écrit en JavaScript. « Il faut se méfier des emails comportant des pièces jointes JavaScript », ont averti les chercheurs du Centre de protection contre les logiciels malveillants de Microsoft dans un message publié en avril. « Il est rare et même suspect que des gens envoient des applications dans le format de fichier JavaScript pur (des fichiers avec l’extension .js ou .jse) par courrier électronique. Il ne faut surtout ni cliquer dessus, ni les ouvrir ».
D'autres fichiers de script comme .VBS (VBScript), .VBE (VBScript Encoded), .WSH (Windows Script Host Settings File) et .WSF (Windows Script File), déjà bloqué par Gmail, peuvent être utilisés de la même façon. En règle générale, il ne faut jamais ouvrir un fichier dont on ne reconnait pas le type. Même si l’on veut recevoir occasionnellement ce type de fichiers, il est toujours préférable de vérifier la source avant de les ouvrir et d’éviter de les partager avec d’autres par courrier électronique.Annoncée lors de la dernière conférence Google I/O 2016, la possibilité d'accéder à des applications mobiles sans les avoir préalablement téléchargées arrive sur Android. Parmi les premières Instant Apps, BuzzFeed et Periscope.
Après un premier aperçu à l'occasion de son show I/O 2016, les applications mobiles ne nécessitant plus d'installation préalable pour fonctionner commencent à être disponibles sur Android. « Nous avons travaillé avec un petit nombre de développeurs pour redéfinir les expériences utilisateurs et développeurs », a expliqué la firme de Mountain View dans un billet de blog. Actuellement, une poignée d'Instant Apps sont accessibles : BuzzFeed (site média), Wish (e-commerce), Periscope (diffusion live de vidéos) et Viki (séries TV et films).
« Pour développer une app instantanée, vous aurez besoin de mettre à jour votre app Android existante et la modulariser de façon à ce qu'elle soit téléchargée et puisse tourner à la volée », a indiqué Google qui a mis en ligne toutes les instructions nécessaires pour passer aux Instant Apps. A la différence d'une application classique, une instant app peut être accessible via un simple lien de téléchargement, et une fois fermée aucune donnée d'installation et d'utilisation n'est stockée sur le terminal. Plusieurs versions antérieures à Android Nougat acceptent les Instant Apps, à savoir Jelly Bean, KitKat, Lollipop ainsi que Marshmallow.Google a laissé entendre qu'il pourrait livrer « des outils avancés » aux utilisateurs de cartes de développement, notamment le Raspberry Pi 3 et la carte Edison d’Intel. Le géant de la recherche a lancé une étude de marché auprès de la communauté des utilisateurs, et en première page du site, il annonce : « Google aimerait créer des outils avancés et nous voulons savoir ce qui vous serait le plus utile ». Google demande aussi quels sont les fabricants de mini cartes préférés des utilisateurs, pose des questions sur le matériel et le logiciel et s’intéresse aux projets que les utilisateurs souhaitent réaliser.
La firme n'a pas répondu à une demande de commentaire de notre confrère d’IDG NS. Mais, dans un blog, Raspberry Pi indique que les premiers outils avancés seront disponibles dans le courant de l’année. « Les outils avancés de Google peuvent accroître les fonctionnalités des dispositifs créés avec ces cartes », a déclaré Raspberry Pi. Ils pourraient aussi permettre à Google d’étendre sa présence sur le marché IoT, lequel devrait atteindre les 30,7 milliards de dollars d'ici 2020 et les 75,4 milliards d'ici 2025, selon une étude publiée par IHS en mars dernier.Google essaie également de rendre les appareils plus évolués avec Android Things, son système d'exploitation axé sur l’IoT. L'OS, qui est une version allégée d'Android, peut faire tourner des capteurs et des caméras. Seulement trois cartes - le Raspberry Pi 3, la carte Edison d’Intel Edison et la carte Pico i.MX6UL de NXP - supportent l’OS Android Things. Une preview de l’OS a été livrée aux développeurs décembre, mais de nombreuses questions ne sont toujours pas résolues. Par exemple, cette version ne prend pas en charge l'accélération graphique sur le Raspberry Pi, et la gestion du son sur la carte Edison n’est pas au point.
Google a publié un code qui permet de créer une sonnette et une station météorologique tournant avec son système d'exploitation. Pour l’instant, seuls deux projets Android Things sont répertoriés sur le site web Hackster.io. En livrant plus d'outils pour les appareils intelligents, Google espère également concurrencer Amazon, qui a présenté lors du dernier CES de Las Vegas, des voitures, des appareils ménagers et de nombreux gadgets utilisant son assistant virtuel Alexa.A la suite d'alertes transmises directement par Google, plus de 90 000 développeurs ont dû intervenir depuis 2014 sur les apps mobiles Android qu'ils avaient publiées sur la boutique Play, afin de corriger des vulnérabilités connues dans des bibliothèques tierces. Sous peine de ne plus pouvoir proposer de nouvelles mises à jour de leurs applications mobiles.
Voilà deux ans que Google met la pression sur les développeurs pour qu’ils corrigent les failles de sécurité qui polluent plus de 275 000 apps mobiles Android proposées sur sa boutique en ligne officielle. Dans de nombreux cas, la firme californienne a agité la menace de bloquer les futures mises à jour des apps peu sûres. Depuis 2014, dans le cadre de son programme ASI (App Security Improvement) visant à améliorer la sécurité sur Android, Google passe en revue les applications figurant sur Play, à la recherche des vulnérabilités connues. Lorsqu’il en trouve, il adresse une alerte à la personne qui a publié l’app, à la fois par e-mail et via la console développeur de sa boutique en ligne.
Au départ, le programme ASI recherchait seulement les identifiants AWS intégrés dans les apps, qui constituaient alors un problème courant. Si ces identifiants se trouvaient exposés, les serveurs cloud sollicités par les apps pour stocker les données et contenus des utilisateurs pouvaient en effet se retrouver sérieusement compromis. Par la suite, Google a recherché aussi les fichiers Keystore qui contiennent des clés de chiffrement, à la fois publiques et privées, permettant de chiffrer les données et les connexions sécurisées. Dans les premiers temps, les développeurs recevaient de simples notifications, sans aucune pression pour intervenir. Cela a changé en 2015 lorsque Google a étendu ses recherches à d'autres types de problèmes et commencé à fixer des délais pour les corriger.
La firme de Mountain View fournit de nombreux détails sur les failles détectées, ainsi que des directives sur la façon de les corriger. Les développeurs qui n’arrivent pas à résoudre les problèmes dans les temps impartis peuvent se voir empêcher de publier leurs mises à jour sur Play. En 2015, Google a contrôlé six vulnérabilités de plus, toutes assorties d’une date limite de correction. En 2016, il en a ajouté 17 dont 12 comportaient une date butoir pour les correctifs. Cela concerne des failles de sécurité trouvées dans des bibliothèques tierces, mais aussi dans des frameworks de développement et des SDK utilisés pour connecter les applications aux réseaux de publicité en ligne (advertising SDK), ainsi que des mises en œuvre dangereuses de classes Java et d’interfaces Android.
Par exemple, les développeurs qui ont utilisé le SDK Supersonic dans leurs applications ont jusqu’au 26 janvier 2017 pour le mettre à jour vers la version 6.3.5 ou ultérieure. Les versions plus anciennes exposent à travers JavaScript des fonctions sensibles qui peuvent être vulnérables à des attaques de type man-in-the-middle. Jusqu’en avril 2016, le programme ASI de Google Play a aidé les développeurs à corriger 100 000 applications. Depuis, ce nombre a presque triplé, près de 90 000 développeurs ayant corrigé des problèmes de sécurité dans plus de 275 000 apps, a indiqué la semaine dernière dans un billet Rahul Mishra, responsable du programme de sécurité Android.Le service de cartographie Maps de Google ajoutera bientôt une fonctionnalité qui permettra aux conducteurs de savoir s'ils peuvent stationner une fois arrivé sur leur lieu de destination.