Un bug dans 7-Zip ouvre une brèche inattendue dans les protections de Windows. Une faille corrigée, mais qui reste dangereuse pour celles et ceux qui n’ont pas encore mis leur logiciel à jour.
Une faille de sécurité critique dans 7-Zip pourrait bien exposer votre système, et donc vos données, à des risques majeurs. En cause, un contournement des protections Mark of the Web (MotW) qui permet à des fichiers extraits de passer sous le radar des alertes de sécurité de Microsoft. Bien qu’un correctif soit déjà disponible, l’absence de mise à jour automatique du gestionnaire d’archives rend la menace bien réelle pour celles et ceux qui n’auraient pas encore pris les devants.
Une faille qui contourne les sécurités Windows
Si vous téléchargez souvent des fichiers, vous utilisez probablement sans le savoir un petit mécanisme bien pratique : le Mark of the Web (MotW). Cette balise invisible, généralement ajoutée par le navigateur ou l’application qui gère le téléchargement ou l’extraction du fichier, agit comme un filtre de sécurité. En pratique, elle est stockée dans les flux de données alternatifs (Zone.Identifier) des fichiers provenant de sources non fiables.
Grâce à cette balise, les applications (comme 7-Zip ou votre navigateur) savent qu’un fichier peut comporter des risques et adaptent leur comportement. Vous recevez alors un avertissement avant d’exécuter un programme, ou vos documents s’ouvrent en mode protégé, macros bloquées.
Sauf que dans certaines situations, ce système peut dysfonctionner. La faille CVE-2025-0411, découverte dans 7-Zip et révélée par Trend Micro, montre qu’il est possible de contourner cette mesure de protection, avec des conséquences potentiellement graves. Cette vulnérabilité cible spécifiquement les archives imbriquées – c’est-à-dire des archives contenant d’autres archives. À l’extraction, 7-Zip « oublie » d’appliquer la balise MotW aux fichiers finaux.
Résultat : sans avertissement SmartScreen ni ouverture en mode protégé, un fichier piégé pourrait être exécuté par erreur par l’utilisateur ou utilisatrice, ce qui permettrait à un attaquant d’exécuter du code malveillant ou de télécharger d’autres fichiers vérolés sur la machine ciblée.
Un patch existe, mais il faut agir
La bonne nouvelle, c’est qu’un patch est déjà disponible pour cette faille. Igor Pavlov, le créateur de 7-Zip, a corrigé le problème dès novembre 2024 avec la version 24.09. Désormais, les fichiers extraits, même depuis des archives imbriquées, récupèrent correctement leur balise MotW.
Mais évidemment, il y a un mais. L’absence de système de mise à jour automatique dans 7-Zip complique la diffusion du correctif, et si vous n’avez pas manuellement mis à niveau le programme depuis novembre, votre PC reste vulnérable.
Or, ce problème est loin d’être anodin. Des failles similaires ont déjà été exploitées par le passé, avec des conséquences importantes pour les utilisateurs et utilisatrices. À titre d’exemple, en août dernier, Microsoft corrigeait une vulnérabilité zero-day dans SmartScreen, exploitée quelques mois plus tôt pour propager le malware DarkGate. Déguisé en installateurs de logiciels connus comme iTunes et Notion, ou encore en pilotes NVIDIA, le programme malveillant a fait quelques milliers de victimes.
À peu près à la même période, le groupe Water Hydra exploitait une autre faille de même type pour cibler des communautés de trading via Telegram, à l’aide du RAT DarkMe. Des attaques d’envergure destinée à vider les comptes de traders professionnels.
En bref, si vous utilisez 7-Zip pour décompresser vos fichiers, vous savez ce qu’il vous reste à faire.
Source : Bleeping Computer
30 décembre 2024 à 09h47
