Un chercheur a montré comment exécuter n’importe quel code depuis une archive auto-extractible. Mais les développeurs de WinRAR balayent cette trouvaille d’un revers de main, expliquant que c’était déjà possible avant… et de manière officielle.

Si vous faites partie des 500 millions d’utilisateurs de WinRAR dans le monde, nous vous conseillons vivement de redoubler d’attention. Le chercheur en sécurité Mohammad Reza Espargham vient de dévoiler une faille zero-day jugée critique dans la dernière version de ce logiciel de compression de fichiers (5.21). Elle permet d’exécuter à distance n’importe quel code malveillant.
Cette faille ne s’applique qu’aux archives auto-extractibles dites SFX. Lors de la création d’une telle archive, il est possible d’insérer du code HTML dans le champ « SFX -> Options SFX Avancées… -> Texte and icône -> Texte à afficher dans la fenêtre SFX ». Ce code sera automatiquement exécuté lorsque l’utilisateur cliquera sur son archive. Une personne mal intentionnée peut profiter de cette faille pour faire en sorte que l’utilisateur télécharge et exécute automatiquement un code malveillant sans qu’il ne s’en rende compte. Voici une vidéo de démonstration.




Toutefois, cette démonstration a complètement laissé de marbre les développeurs de WinRAR, qui estiment qu’une archive auto-extractible est avant tout un exécutable, donc un fichier risqué par nature. Par ailleurs, ils expliquent qu’il est déjà possible, au travers des commandes officielles de WinRAR, d’intégrer n’importe quel exécutable dans une archive et de la faire exécuter automatiquement et en tâche de fond lors de l’extraction. Il est même possible de télécharger un exécutable depuis le web.



Un pirate pouvait donc d’ores et déjà diffuser des archives vérolées par internet sans que l’utilisateur ne puisse s’en rendre compte et sans avoir à passer par un code HTML. Les développeurs conseillent aux utilisateurs « de n’exécuter des fichiers .EXE, qu’il s’agisse d’archives SFX ou non, seulement s’ils proviennent d’une source sûre ». On peut donc supposer qu'ils ne comptent pas colmater la faille découverte par M. Espargham. En tous les cas, c’est toujours bon de savoir que les archives WinRAR SFX sont « vulnérables par design » !