WinRAR : une faille de sécurité sur ce logiciel que vous utilisez peut-être sans le savoir

WinRAR : une faille de sécurité sur ce logiciel que vous utilisez peut-être sans le savoir
High-tech

SÉCURITÉ — Cet utilitaire de compression de fichier ultra populaire contient une faille permettant à une personne mal intentionnée de télécharger et installer un logiciel à l’insu de son utilisateur. Pourtant, les développeurs estiment qu’il s’agit d’une fonctionnalité présente depuis longtemps.

Si vous utilisez Windows et que vous êtes un adepte du téléchargement, vous avez déjà certainement utilisé WinRAR, comme 500 millions d’autres personnes. Et même peut-être sans le savoir, tant il fait partie des logiciels qu'on installe par défaut sur sa machine. Mais cet utilitaire de compression de fichiers contient une faille, selon le chercheur en sécurité Mohammad Reza Espargham . D’après lui, la dernière version en date du logiciel (5.21) permettrait d'exécuter à distance n’importe quel code malveillant.

Pas de souci pour les développeurs de WinRAR

Ainsi lors de la décompression d’une archive de type SFX, un code HTML inséré avant sa compression peut être exécuté. Il peut donc ordonner à votre ordinateur de télécharger un logiciel et de l’installer sans votre consentement et sans que vous vous en rendiez compte. Le principe a été d’ailleurs été démontré par le chercheur sur cette vidéo.


Pourtant, cela ne semble poser aucun problème aux développeurs de WinRAR qui revendiquent cela comme une simple fonctionnalité , déjà présente sur les versions précédentes de l’utilitaire. Ils conseillent donc de n’utiliser les fichiers SFX que s’ils proviennent d’une source sûre. Ne vous amusez donc pas à décompresser ce type de fichier trouvé sur BitTorrent alors que vous étiez en train de télécharger le dernier album de Taylor Swift. 

EN SAVOIR + 
>>  Android : cette faille de sécurité rend votre smartphone inutilisable

Sur le même sujet

Et aussi

Lire et commenter

Alertes

Recevez les alertes infos pour les sujets qui vous intéressent