Historiquement, le code de Chrome pour iOS était séparé du reste du projet Chromium en raison de la complexité supplémentaire requise pour la plate-forme. La firme de Mountain View Google a travaillé pendant plusieurs années pour faire en sorte que Chrome pour iOS puisse supporter WebKit, le moteur de rendu d’Apple en plus de Blink, son propre moteur de rendu. Pour les développeurs qui veulent en savoir plus, des informations sont disponibles sur ce lien.À partir du 13 février, Google n'autorisera plus les pièces jointes JavaScript sur son service Gmail. Le service de messagerie compte ainsi fermer l’un des principaux canaux utilisés au cours de ces deux dernières années pour distribuer des logiciels malveillants. Les utilisateurs ne pourront plus joindre de fichiers .JS aux courriels Gmail, directement ou sous forme d’archives du type .gz, .bz2, .zip ou .tgz. Néanmoins, s’ils doivent impérativement partager ces fichiers par courrier électronique, ils pourront les télécharger sur un service de stockage, Google Drive éventuellement, puis partager le lien.
L'extension de fichier .JS sera ajoutée à la liste des fichiers déjà interdits par le service de messagerie. À savoir : .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS,. ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF et .WSH. Pendant longtemps, la plupart de ces formats de fichiers ont été utilisés par les cybercriminels pour envoyer des logiciels malveillants par courrier électronique. Et il s’est produit la même chose avec les fichiers .JS ces deux dernières années. C’est d'autant plus préjudiciable que les fichiers JavaScript peuvent être exécutés directement sur Windows grâce à un composant système appelé Windows Script Host (WSH).Les fichiers JavaScript, qui sont généralement masqués, peuvent servir de téléchargeurs pour d'autres logiciels malveillants et la solution est très prisée des auteurs de ransomware. Des menaces répandues comme TeslaCrypt et Locky ont utilisé cette méthode de distribution et un ransomware particulier appelé RAA a été complètement écrit en JavaScript. « Il faut se méfier des emails comportant des pièces jointes JavaScript », ont averti les chercheurs du Centre de protection contre les logiciels malveillants de Microsoft dans un message publié en avril. « Il est rare et même suspect que des gens envoient des applications dans le format de fichier JavaScript pur (des fichiers avec l’extension .js ou .jse) par courrier électronique. Il ne faut surtout ni cliquer dessus, ni les ouvrir ».
D'autres fichiers de script comme .VBS (VBScript), .VBE (VBScript Encoded), .WSH (Windows Script Host Settings File) et .WSF (Windows Script File), déjà bloqué par Gmail, peuvent être utilisés de la même façon. En règle générale, il ne faut jamais ouvrir un fichier dont on ne reconnait pas le type. Même si l’on veut recevoir occasionnellement ce type de fichiers, il est toujours préférable de vérifier la source avant de les ouvrir et d’éviter de les partager avec d’autres par courrier électronique.Annoncée lors de la dernière conférence Google I/O 2016, la possibilité d'accéder à des applications mobiles sans les avoir préalablement téléchargées arrive sur Android. Parmi les premières Instant Apps, BuzzFeed et Periscope.
Après un premier aperçu à l'occasion de son show I/O 2016, les applications mobiles ne nécessitant plus d'installation préalable pour fonctionner commencent à être disponibles sur Android. « Nous avons travaillé avec un petit nombre de développeurs pour redéfinir les expériences utilisateurs et développeurs », a expliqué la firme de Mountain View dans un billet de blog. Actuellement, une poignée d'Instant Apps sont accessibles : BuzzFeed (site média), Wish (e-commerce), Periscope (diffusion live de vidéos) et Viki (séries TV et films).
« Pour développer une app instantanée, vous aurez besoin de mettre à jour votre app Android existante et la modulariser de façon à ce qu'elle soit téléchargée et puisse tourner à la volée », a indiqué Google qui a mis en ligne toutes les instructions nécessaires pour passer aux Instant Apps. A la différence d'une application classique, une instant app peut être accessible via un simple lien de téléchargement, et une fois fermée aucune donnée d'installation et d'utilisation n'est stockée sur le terminal. Plusieurs versions antérieures à Android Nougat acceptent les Instant Apps, à savoir Jelly Bean, KitKat, Lollipop ainsi que Marshmallow.Google a laissé entendre qu'il pourrait livrer « des outils avancés » aux utilisateurs de cartes de développement, notamment le Raspberry Pi 3 et la carte Edison d’Intel. Le géant de la recherche a lancé une étude de marché auprès de la communauté des utilisateurs, et en première page du site, il annonce : « Google aimerait créer des outils avancés et nous voulons savoir ce qui vous serait le plus utile ». Google demande aussi quels sont les fabricants de mini cartes préférés des utilisateurs, pose des questions sur le matériel et le logiciel et s’intéresse aux projets que les utilisateurs souhaitent réaliser.
La firme n'a pas répondu à une demande de commentaire de notre confrère d’IDG NS. Mais, dans un blog, Raspberry Pi indique que les premiers outils avancés seront disponibles dans le courant de l’année. « Les outils avancés de Google peuvent accroître les fonctionnalités des dispositifs créés avec ces cartes », a déclaré Raspberry Pi. Ils pourraient aussi permettre à Google d’étendre sa présence sur le marché IoT, lequel devrait atteindre les 30,7 milliards de dollars d'ici 2020 et les 75,4 milliards d'ici 2025, selon une étude publiée par IHS en mars dernier.Google essaie également de rendre les appareils plus évolués avec Android Things, son système d'exploitation axé sur l’IoT. L'OS, qui est une version allégée d'Android, peut faire tourner des capteurs et des caméras. Seulement trois cartes - le Raspberry Pi 3, la carte Edison d’Intel Edison et la carte Pico i.MX6UL de NXP - supportent l’OS Android Things. Une preview de l’OS a été livrée aux développeurs décembre, mais de nombreuses questions ne sont toujours pas résolues. Par exemple, cette version ne prend pas en charge l'accélération graphique sur le Raspberry Pi, et la gestion du son sur la carte Edison n’est pas au point.
Google a publié un code qui permet de créer une sonnette et une station météorologique tournant avec son système d'exploitation. Pour l’instant, seuls deux projets Android Things sont répertoriés sur le site web Hackster.io. En livrant plus d'outils pour les appareils intelligents, Google espère également concurrencer Amazon, qui a présenté lors du dernier CES de Las Vegas, des voitures, des appareils ménagers et de nombreux gadgets utilisant son assistant virtuel Alexa.A la suite d'alertes transmises directement par Google, plus de 90 000 développeurs ont dû intervenir depuis 2014 sur les apps mobiles Android qu'ils avaient publiées sur la boutique Play, afin de corriger des vulnérabilités connues dans des bibliothèques tierces. Sous peine de ne plus pouvoir proposer de nouvelles mises à jour de leurs applications mobiles.
Voilà deux ans que Google met la pression sur les développeurs pour qu’ils corrigent les failles de sécurité qui polluent plus de 275 000 apps mobiles Android proposées sur sa boutique en ligne officielle. Dans de nombreux cas, la firme californienne a agité la menace de bloquer les futures mises à jour des apps peu sûres. Depuis 2014, dans le cadre de son programme ASI (App Security Improvement) visant à améliorer la sécurité sur Android, Google passe en revue les applications figurant sur Play, à la recherche des vulnérabilités connues. Lorsqu’il en trouve, il adresse une alerte à la personne qui a publié l’app, à la fois par e-mail et via la console développeur de sa boutique en ligne.
Au départ, le programme ASI recherchait seulement les identifiants AWS intégrés dans les apps, qui constituaient alors un problème courant. Si ces identifiants se trouvaient exposés, les serveurs cloud sollicités par les apps pour stocker les données et contenus des utilisateurs pouvaient en effet se retrouver sérieusement compromis. Par la suite, Google a recherché aussi les fichiers Keystore qui contiennent des clés de chiffrement, à la fois publiques et privées, permettant de chiffrer les données et les connexions sécurisées. Dans les premiers temps, les développeurs recevaient de simples notifications, sans aucune pression pour intervenir. Cela a changé en 2015 lorsque Google a étendu ses recherches à d'autres types de problèmes et commencé à fixer des délais pour les corriger.
La firme de Mountain View fournit de nombreux détails sur les failles détectées, ainsi que des directives sur la façon de les corriger. Les développeurs qui n’arrivent pas à résoudre les problèmes dans les temps impartis peuvent se voir empêcher de publier leurs mises à jour sur Play. En 2015, Google a contrôlé six vulnérabilités de plus, toutes assorties d’une date limite de correction. En 2016, il en a ajouté 17 dont 12 comportaient une date butoir pour les correctifs. Cela concerne des failles de sécurité trouvées dans des bibliothèques tierces, mais aussi dans des frameworks de développement et des SDK utilisés pour connecter les applications aux réseaux de publicité en ligne (advertising SDK), ainsi que des mises en œuvre dangereuses de classes Java et d’interfaces Android.Par exemple, les développeurs qui ont utilisé le SDK Supersonic dans leurs applications ont jusqu’au 26 janvier 2017 pour le mettre à jour vers la version 6.3.5 ou ultérieure. Les versions plus anciennes exposent à travers JavaScript des fonctions sensibles qui peuvent être vulnérables à des attaques de type man-in-the-middle. Jusqu’en avril 2016, le programme ASI de Google Play a aidé les développeurs à corriger 100 000 applications. Depuis, ce nombre a presque triplé, près de 90 000 développeurs ayant corrigé des problèmes de sécurité dans plus de 275 000 apps, a indiqué la semaine dernière dans un billet Rahul Mishra, responsable du programme de sécurité Android.
Le service de cartographie Maps de Google ajoutera bientôt une fonctionnalité qui permettra aux conducteurs de savoir s'ils peuvent stationner une fois arrivé sur leur lieu de destination.
Maps, l’application cartographique de Google traquait déjà les files d’attente en temps réel. L’ajout d’une fonctionnalité permettra au service de donner bientôt des indications sur la disponibilité des places de parking à proximité d'un lieu de destination. Disponible pour l’instant en version bêta, l’app renseigne les conducteurs sur la difficulté à trouver une place de stationnement à l’aide d’une icône « P ». Celle-ci s’affiche en bleu si les places sont simples ou moyennement faciles à trouver, et en rouge si elles ne le sont pas. Ces indications ne sont pas des données en temps réel. La nouvelle fonctionnalité renseigne simplement sur la difficulté moyenne de stationner à un endroit précis dans des lieux comme des centres commerciaux ou des aéroports.Avec la version 9 de XenMobile, les responsables IT vont pouvoir gérer les machines desktop et les terminaux mobiles sous Windows 8. Citrix Systems propose également une nouvelle méthode pour faciliter la mise à jour de XenApp.
La conférence Synergy 2014 qui s'est tenue cette semaine à Los Angeles (du 6 au 8 mai) est l'événement annuel le plus important de Citrix. « Cette année, l'éditeur a surtout mis l'accent sur les efforts accomplis pour permettre aux utilisateurs d'accéder aux données et aux applications depuis n'importe quel appareil, à charge pour le service informatique de gérer et de sécuriser ces échanges », a déclaré Matt Morgan, vice-président marketing et produits chez Citrix. Il a également annoncé des mises à jour, des produits et a montré de nouvelles technologies qui vont dans le sens de cette stratégie. Citrix a notamment annoncé XenMobile 9 et une nouvelle version de sa plate-forme de gestion mobile. Celle-ci offre une meilleure protection des données et la compatibilité avec un plus grand nombre d'applications. Selon Citrix, les applications de la famille Worx sont plus sécurisées et plus faciles à gérer que les applications mobiles courantes. Parmi elles, WorxDesktop, la plus récente, permet aux utilisateurs d'accéder à distance aux fichiers stockés sur leurs ordinateurs de bureau. Dans la même famille, l'application WorxMail, combinant courriel, calendrier et contacts, a été mise à jour et affiche une interface utilisateur revue. « Certaines modifications améliorent également la durée de vie de la batterie sur les appareils qui utilisent les applications Worx, et le support de Windows Phone 8 a été ajouté », a précisé Matt Morgan. La liste des terminaux que les administrateurs IT peuvent gérer avec XenMobile 9 s'est étoffée : elle inclut désormais les machines sous Windows 8.1. « C'est une étape importante », a fait remarquer le vice-président. « En tant qu'industriel, nous étions très concernés par le risque de voir des appareils mobiles, smartphones et tablettes, tomber entre de mauvaises mains ou se perdre, mais nous n'avions pas vraiment accordé beaucoup d'attention aux ordinateurs portables ou aux ordinateurs de bureau. Cette mise à jour prend désormais ces machines en compte », a-t-il déclaré. XenMobile 9 sera disponible au téléchargement en juin.