Deux des programmes de compression les plus utilisés au monde, 7-Zip et WinRAR, ont été contraints de publier des mises à jour d’urgence suite à la découverte de vulnérabilités de sécurité graves. Dans le cas de WinRAR, il a été confirmé qu’une faille était déjà exploitée activement par des cybercriminels, tandis que 7-Zip a corrigé une faille permettant de manipuler des fichiers critiques du système.

WinRAR sous attaque : exploitation active de la CVE-2025-8088

La vulnérabilité CVE-2025-8088, avec un score CVSS de 8,8, touche le logiciel de compression WinRAR et permet aux attaquants d’exécuter du code arbitraire via des fichiers d’archive spécialement conçus. Les chercheurs d’ESET, Anton Cherepanov, Peter Košinár et Peter Strýček, ont découvert que cette faille de type « path traversal » était déjà exploitée par le groupe russe RomCom (également connu sous le nom de Paper Werewolf) dans le cadre de campagnes de phishing ciblées.

Le problème permet qu’en extrayant un fichier, des versions antérieures de WinRAR puissent être trompées pour utiliser un chemin spécifié dans un fichier malveillant, plutôt que celui défini par l’utilisateur. Cette vulnérabilité permet à un fichier malicieux de faire en sorte que WinRAR enregistre des fichiers à des endroits inattendus, comme le répertoire de démarrage du système.

Les attaques documentées par ESET se sont produites entre le 18 et le 21 juillet 2025, ciblant des entreprises financières, industrielles, de défense et de logistique en Europe et au Canada à des fins de cyberespionnage. Des éléments indiquent que le groupe Paper Werewolf aurait pu acquérir l’exploit suite à une annonce sur des forums russes où un acteur nommé « zeroplayer » proposait une vulnérabilité zero-day de WinRAR contre 80 000 dollars.

La vulnérabilité a été corrigée dans WinRAR version 7.13, sortie le 31 juillet 2025. Néanmoins, le logiciel ne dispose pas d’un mécanisme de mise à jour automatique, ce qui oblige les utilisateurs à télécharger et installer manuellement la mise à jour.

7-Zip : manipulation des liens symboliques avec la CVE-2025-55188

Par ailleurs, 7-Zip a corrigé la vulnérabilité CVE-2025-55188, avec un score CVSS de 2,7, pouvant être exploitée pour une écriture arbitraire via la gestion des liens symboliques lors de l’extraction. Le code responsable de la gestion des liens symboliques a été modifié afin d’améliorer la sécurité lors de l’extraction, notamment en ajoutant le paramètre -snld20, qui permet de désactiver les vérifications de sécurité par défaut lors de la création de liens symboliques.

Dans un scénario d’attaque potentiel, un acteur malveillant pourrait exploiter cette faille pour accéder de façon non autorisée ou exécuter du code en manipulant des fichiers sensibles, comme en écrasant des clés SSH ou le fichier .bashrc. La vulnérabilité cible principalement les systèmes Unix, même si elle peut être adaptée pour Windows sous des conditions supplémentaires.

Elle a été corrigée dans la version 25.01 de 7-Zip, publiée le 3 août 2025.

Historique des vulnérabilités dans les outils de compression

Ce n’est pas la première fois que des failles graves sont découvertes dans des logiciels de compression. En 2023, une autre vulnérabilité de WinRAR (CVE-2023-38831, CVSS 7,8) a été massivement exploitée en zero-day par plusieurs groupes de menaces liés à la Chine et à la Russie. L’équipe d’analyse des menaces de Google a documenté que des acteurs soutenus par des États en Russie et en Chine avaient exploité cette faille précédente.

Plus récemment, une autre faille a été trouvée dans 7-Zip, CVE-2025-0411, avec un score CVSS de 7,0, permettant d’échapper au mécanisme de protection Mark-of-the-Web. Elle a été corrigée dans la version 24.09 publiée le 29 novembre 2024.

Recommandations en matière de sécurité

Les experts en cybersécurité conseillent de suivre ces actions immédiates :

• WinRAR : Mettre à jour sans délai vers la version 7.13 ou supérieure
• 7-Zip : Mettre à jour vers la version 25.01 ou supérieure
• Éviter d’ouvrir des fichiers compressés provenant de sources inconnues ou suspectes
• Déployer des systèmes de détection pouvant identifier des comportements malveillants
• Vérifier régulièrement les versions logicielles de compression installées dans les organisations

Plus de 80 % des entreprises utilisent des outils d’archivage comme WinRAR, souvent en sous-estimant les risques ; ces vulnérabilités constituent donc un vecteur d’attaque particulièrement préoccupant pour l’infrastructure professionnelle.

Questions fréquemment posées

Comment puis-je vérifier la version de WinRAR ou 7-Zip installée sur mon poste ? Dans WinRAR, allez dans le menu « Aide » > « À propos de WinRAR » pour voir la version. Dans 7-Zip, ouvrez le programme et consultez « Aide » > « À propos de 7-Zip ». Les versions sécurisées sont WinRAR 7.13+ et 7-Zip 25.01+.

Certaines de ces vulnérabilités concernent-elles d’autres programmes de compression, comme le ZIP natif de Windows ? Non, ces failles (CVE-2025-8088 et CVE-2025-55188) touchent uniquement WinRAR et 7-Zip. Cependant, il est recommandé de mettre à jour tous les outils de compression, car ils sont souvent ciblés par des cyberattaques.

Puis-je continuer à utiliser en toute sécurité mes fichiers RAR et 7Z après mise à jour ? Oui, après avoir installé les versions corrigées (WinRAR 7.13+ et 7-Zip 25.01+), ces formats sont considérés comme sûrs. Mais, restez vigilant face aux fichiers provenant de sources non vérifiées, et utilisez un antivirus à jour.

Qu’est-ce qu’une attaque de type « path traversal » ? Why est-ce dangereux ? Une attaque de type « path traversal » permet à un attaquant de manipuler les chemins d’accès aux fichiers pour écrire ou accéder à des fichiers hors du répertoire prévu. C’est dangereux car cela peut conduire à la suppression ou l’installation de malwares, à la compromission de fichiers critiques ou au vol d’informations sensibles.

Alternatives open source sécurisées comme solution

Face à la fréquence accrue de vulnérabilités dans les logiciels propriétaires, de nombreux experts recommandent de migrer vers des alternatives open source, plus transparentes et plus rapides à corriger. Les outils natifs de Unix/Linux, tels que gzip, bzip2 et xz, offrent d’importants avantages en matière de sécurité et de performance.

7-Zip : la meilleure alternative gratuite et open source

7-Zip s’impose comme l’une des meilleures alternatives open source, offrant un taux de compression supérieur de 2 à 10 % par rapport à PKZip ou WinZip pour les formats ZIP et GZIP. Il supporte de nombreux formats, dont 7z, XZ, BZIP2, GZIP, TAR, ZIP et WIM, et peut décompresser ARJ, CAB, CHM, RAR, et bien d’autres.

Parmi ses fonctionnalités notables, on trouve le chiffrement AES-256 pour les formats 7z et ZIP, la possibilité de créer des archives auto-extractibles, et une intégration complète avec l’explorateur Windows. Étant open source, il bénéficie de la vérification permanente de la communauté de développeurs et d’une compatibilité multi-plateformes.

PeaZip : interface moderne et large compatibilité

PeaZip est une autre excellente option open source, supportant la compression en 7Z, ARC, BZip2, GZip, PAQ, PEA, et la création d’archives auto-extraillables en TAR, WIM, XZ, ZIP. Elle décompresse plus de 180 formats. Disponible en version portable, sans publicités ni adware, elle offre également des fonctionnalités avancées de sécurité, telles que le chiffrement AES et l’authentification à deux facteurs.

Outils natifs Unix/Linux : sécurité optimale

Pour les utilisateurs techniques, les outils natifs offrent la meilleure sécurité et performance :

Gzip : Si sa compression est moins performante, Gzip présente la meilleure relation entre qualité, rapidité et utilisation des ressources pour compresser/décompresser. C’est l’outil standard sur Unix/Linux, largement audité.

XZ/LZMA : Malgré une faille de sécurité en 2024 (CVE-2024-3094), la communauté a rapidement détecté et corrigé l’incident, évitant que cela n’affecte les systèmes en production. XZ permet d’obtenir des fichiers très compacts, idéaux pour la diffusion web et l’économie de bande passante.

Bzip2 : Offre un compromis intéressant, avec une meilleure compression que Gzip tout en étant plus rapide que XZ.

Alternatives émergentes : NanaZip et Bandizip

NanaZip, basé sur le moteur de 7-Zip, se présente comme « le décompresseur ultime » avec une interface moderne intégrée dans le menu contextuel de Windows 11. Il maintient la puissance de 7-Zip avec une expérience utilisateur améliorée.

Bandizip supporte plus de 30 formats, incluant le récent RAR5, avec une interface intuitive et une stabilité éprouvée. Il supporte le chiffrement AES-256 et est disponible en versions gratuite et pro.

Recommandations pour la migration

Pour les organisations cherchant des alternatives sûres, les conseils sont :

1. Migration progressive : commencer avec 7-Zip ou PeaZip pour remplacer rapidement WinRAR
2. Standardisation : privilégier les formats ouverts comme 7z, ZIP ou TAR.XZ pour les fichiers d’entreprise
3. Automatisation : déployer des outils natifs Unix pour la sauvegarde automatisée
4. Formation : former le personnel technique à l’utilisation de commandes en ligne pour les tâches critiques

Les avantages du logiciel open source résident dans la capacité de chacun à repérer et corriger rapidement les vulnérabilités, comme l’a montré le cas d’xz-utils où l’ingénieur Andres Freund a découvert une porte dérobée « presque par hasard » avant qu’elle n’impacte les systèmes en production.

Source : News en sécurité