Deux vulnérabilités critiques dans WinRAR et 7-Zip démontrent pourquoi il est temps de repenser nos outils de compression
Dans un monde où des millions de fichiers sont compressés et décompressés quotidiennement, deux des applications les plus omniprésentes de la planète viennent de délivrer un rappel brutal sur la fragilité de l’infrastructure numérique. WinRAR et 7-Zip, installés sur des centaines de millions d’ordinateurs, ont dû publier des correctifs d’urgence après la découverte de vulnérabilités qui, dans le cas du premier, étaient déjà exploitées par des cybercriminels russes.
L’ironie est palpable : des outils conçus pour protéger et organiser nos données sont devenus des points d’entrée pour des attaquants sophistiqués. Et tandis que les utilisateurs se précipitent pour mettre à jour leurs compresseurs, une question inconfortable plane sur l’industrie : combien de ces « utilitaires de base » sont réellement sécurisés ?
WinRAR : quand le passé vous rattrape
La vulnérabilité CVE-2025-8088 dans WinRAR n’est pas seulement une faille technique ; c’est la matérialisation d’un problème structurel. Avec un score CVSS de 8,8, cette brèche de « path traversal » permet aux fichiers malveillants de réécrire la cartographie des dossiers du système d’exploitation, plaçant des exécutables là où ils peuvent causer le plus de dommages.
Les chercheurs d’ESET —Anton Cherepanov, Peter Košinár et Peter Strýček— ont découvert que le groupe russe RomCom avait transformé cette vulnérabilité en leur arme de prédilection entre juillet et août 2025. Le modus operandi était d’une simplicité élégante : des e-mails de phishing avec des fichiers RAR qui, une fois décompressés, déposaient des malwares directement dans les dossiers de démarrage du système.
Mais voici le détail qui devrait préoccuper tout administrateur système : il existe des preuves que Paper Werewolf (un autre alias de RomCom) a acquis l’exploit sur le marché noir. Un acteur connu sous le nom de « zeroplayer » avait proposé cette vulnérabilité zero-day pour 80 000 dollars sur des forums russes le 7 juillet. Trois semaines plus tard, les attaques ont commencé.
L’arithmétique est simple et terrifiante : 80 000 dollars pour potentiellement compromettre des millions de systèmes d’entreprise en Europe et au Canada. L’investissement s’amortit en quelques minutes.
7-Zip : le risque caché dans les liens symboliques
CVE-2025-55188 dans 7-Zip, avec son modeste score CVSS de 2,7, pourrait sembler mineur comparé au drame de WinRAR. Mais ce serait une erreur de sous-estimer une vulnérabilité qui permet la manipulation de liens symboliques lors de l’extraction.
Dans les systèmes Unix, où un simple lien symbolique peut pointer vers des fichiers critiques comme ~/.bashrc ou ~/.ssh/authorized_keys, cette vulnérabilité est un passeport vers la persistance. Un attaquant pourrait écraser des scripts de démarrage ou des clés SSH, établissant un accès permanent au système sans déclencher d’alarmes traditionnelles.
Le correctif est arrivé dans 7-Zip 25.01 le 3 août, introduisant le paramètre -snld20 pour contrôler la gestion des liens symboliques. Mais le fait que cette vulnérabilité ait existé souligne une réalité inconfortable : même les logiciels open-source les plus audités peuvent abriter des surprises désagréables.
Le pattern qui émerge
Ce ne sont pas des incidents isolés. WinRAR avait déjà été protagoniste de CVE-2023-38831 en 2023, une vulnérabilité CVSS 7,8 qui fut massivement exploitée par des acteurs étatiques chinois et russes. 7-Zip, de son côté, a dû corriger CVE-2025-0411 fin 2024, une brèche qui permettait de contourner les protections Mark-of-the-Web de Windows.
Le pattern est clair : les compresseurs sont devenus des cibles prioritaires car ils combinent ubiquité, privilèges élevés et confiance aveugle des utilisateurs. Personne ne soupçonne un fichier ZIP.
Le tableau de la réalité : performance vs. sécurité
| Compresseur | Type | Ratio Compression | Vitesse | Chiffrement | Dernière Vuln. | MAJ Auto |
|---|---|---|---|---|---|---|
| WinRAR | Propriétaire | ~40% de l’original | Rapide | AES-256 | CVE-2025-8088 (Août 2025) | ❌ |
| 7-Zip | Open Source | ~40% de l’original | Lente | AES-256 | CVE-2025-55188 (Août 2025) | ❌ |
| PeaZip | Open Source | ~40% de l’original | Moyenne | AES-256 + 2FA | Aucune récente connue | ❌ |
| NanaZip | Open Source | ~40% de l’original | Lente | AES-256 | Héritées de 7-Zip | ❌ |
| Gzip | Open Source | ~70% de l’original | Très rapide | ❌ | Historiquement stable | N/A |
| XZ | Open Source | ~20% de l’original | Très lente | ❌ | CVE-2024-3094* | N/A |
| Windows ZIP | Propriétaire | ~70% de l’original | Rapide | Basique | Lié à l’OS | ✅ |
*CVE-2024-3094 fut détectée et corrigée avant d’atteindre la production
Le tableau révèle une vérité inconfortable : il n’existe pas de compresseur parfait. WinRAR offre de la vitesse mais nécessite une licence et a un historique de vulnérabilités. 7-Zip compresse mieux mais est plus lent et également vulnérable. Les alternatives open-source comme PeaZip promettent la transparence mais manquent d’écosystèmes de support enterprise.
Le cas spécial de XZ : quand l’open source se retourne contre lui-même
L’incident xz-utils de 2024 mérite une mention spéciale. CVE-2024-3094, avec un score CVSS parfait de 10,0, a démontré que même les logiciels libres peuvent être compromis de l’intérieur. Un contributeur apparemment légitime nommé Jia Tan avait passé deux ans à insérer graduellement du code malveillant dans un outil fondamental pour des millions de serveurs Linux.
La backdoor fut découverte « presque par hasard » par Andres Freund, un ingénieur Microsoft, qui remarqua des anomalies SSH lors de tests de routine. Sans cette détection fortuite, la plupart des serveurs Linux de la planète auraient été compromis.
Paradoxalement, cet incident a également démontré la force du modèle open-source : la transparence du code a permis d’identifier et de corriger la menace avant qu’elle ne cause des dommages massifs.
Les alternatives qui émergent
L’ascension de NanaZip
Dans le laboratoire des alternatives, NanaZip se profile comme l’héritier naturel. Basé sur le moteur de 7-Zip mais avec une interface qui appartient au XXIe siècle, cet outil s’intègre nativement avec le menu contextuel moderne de Windows 11. Pour les utilisateurs qui valorisent à la fois la puissance et l’expérience utilisateur, il représente l’évolution logique.
PeaZip : la proposition intégrale
PeaZip aborde l’un des angles morts de la sécurité : l’authentification à deux facteurs pour les fichiers compressés. Tandis que WinRAR et 7-Zip se contentent de mots de passe, PeaZip permet de protéger les fichiers avec la combinaison mot de passe et fichier de clé, similaire au fonctionnement des wallets de cryptomonnaies.
Retour aux fondamentaux : outils natifs
Pour les cas d’usage corporate où la sécurité prime sur la commodité, les outils natifs Unix offrent une proposition solide :
- Gzip : Vitesse et stabilité prouvées pendant des décennies
- XZ : Compression maximale quand la bande passante est critique
- Bzip2 : L’équilibre pratique entre vitesse et efficacité
Ces outils manquent d’interfaces graphiques conviviales, mais leur simplicité est aussi leur force : moins de surface d’attaque, moins de vecteurs de compromission.
La feuille de route pour les organisations
Recommandations immédiates
- Audit urgent : Identifier toutes les installations WinRAR et 7-Zip
- Mise à jour massive : WinRAR 7.13+ et 7-Zip 25.01+ sont non-négociables
- Politiques de fichiers : Interdire l’ouverture de fichiers compressés de sources non vérifiées
Stratégie à moyen terme
- Diversification : Ne pas dépendre d’un seul compresseur pour toute l’organisation
- Automatisation : Intégrer les outils natifs dans les scripts de backup et déploiement
- Formation : Éduquer les équipes techniques sur les alternatives en ligne de commande
Vision à long terme
L’avenir appartient probablement aux solutions hybrides : outils natifs pour l’automatisation, interfaces modernes comme NanaZip pour les utilisateurs finaux, et protocoles stricts de validation pour tout fichier externe.
Le verdict final
Les vulnérabilités dans WinRAR et 7-Zip ne sont pas seulement des failles techniques ; elles sont les symptômes d’un écosystème qui a priorisé la commodité sur la sécurité pendant trop longtemps. RomCom a payé 80 000 dollars pour un exploit parce qu’ils savaient que des millions d’utilisateurs font aveuglément confiance à leurs compresseurs.
La question n’est pas de savoir s’il y aura plus de vulnérabilités —il y en aura— mais si nous serons préparés quand elles arriveront. La diversification des outils, l’adoption de logiciels audités publiquement et, surtout, la mise à jour religieuse des systèmes critiques ne sont pas des luxes technologiques : ce sont des exigences de survie en 2025.
Dans un monde où comprimer un fichier peut compromettre un serveur, la paranoïa n’est plus un défaut ; c’est une fonctionnalité.
Foire aux questions
Dois-je arrêter immédiatement d’utiliser WinRAR et 7-Zip ? Il n’est pas nécessaire de les abandonner s’ils sont mis à jour (WinRAR 7.13+ et 7-Zip 25.01+). Cependant, considérez diversifier avec des alternatives comme PeaZip ou NanaZip pour réduire la dépendance à un seul outil.
Les outils open-source sont-ils plus sécurisés que les propriétaires ? Pas automatiquement, mais ils offrent une transparence qui permet des audits indépendants. Le cas xz-utils a montré qu’ils peuvent aussi être compromis, mais la détection et correction fut plus rapide que dans des logiciels propriétaires comparables.
Quelle alternative offre le meilleur équilibre entre sécurité et facilité d’usage ? Pour les utilisateurs Windows, NanaZip combine la puissance de 7-Zip avec une interface moderne. Pour les organisations, PeaZip offre des fonctionnalités de sécurité avancées comme l’authentification à deux facteurs. Pour les cas corporate critiques, les outils natifs Unix (gzip, xz) fournissent une stabilité maximale.
Pourquoi les attaquants se concentrent-ils tant sur les logiciels de compression ? Les compresseurs combinent trois caractéristiques attrayantes : ils sont installés sur presque tous les systèmes, gèrent des fichiers externes sans vérification automatique, et les utilisateurs leur font confiance sans questionnement. Un exploit WinRAR réussi vaut 80 000 dollars car il peut compromettre des millions de machines simultanément.
Elon Musk face à la montre : les six règles pour éliminer le temps perdu et comment elles se comparent à celles d’autres grands leaders