Une nouvelle vulnérabilité dans le logiciel de compression populaire 7-Zip expose de nombreux ordinateurs à des risques majeurs. Bien que classée comme mineure, cette faille pourrait avoir des conséquences désastreuses pour les utilisateurs de Linux et Windows. Découvrez les détails de cette menace et comment vous protéger efficacement.
L’essentiel à retenir
- La faille CVE-2025-55188 permet une écriture non autorisée dans des répertoires sensibles grâce à des archives modifiées.
- La vulnérabilité affecte à la fois les systèmes Linux et Windows, bien que les conditions d’exploitation diffèrent.
- La version 25.01 de 7-Zip inclut un correctif, mais l’absence de mise à jour automatique complique sa diffusion.
Comprendre la faille CVE-2025-55188
Le 9 août, le chercheur en cybersécurité Landon a révélé une vulnérabilité critique dans 7-Zip. Cette faille, identifiée sous le code CVE-2025-55188, exploite des liens symboliques dissimulés dans des archives modifiées. Lors de l’extraction, ces liens redirigent les fichiers vers des emplacements sensibles sans alerte pour l’utilisateur.
Sous Linux, un simple clic sur un fichier infecté peut suffire à compromettre des données cruciales comme des clés SSH. En revanche, sous Windows, des droits administratifs ou une configuration en mode développeur sont nécessaires pour que l’attaque soit effective. Pourtant, ces conditions sont souvent réunies, notamment dans les environnements de développement.
Les risques d’une vulnérabilité sous-estimée
MITRE a attribué à la faille un score CVSS de 2,7, la classant parmi les vulnérabilités mineures. Cependant, Landon et d’autres experts en sécurité estiment que ce score minimise les risques réels. La possibilité de rediriger des fichiers critiques ou d’injecter des scripts malveillants peut avoir des conséquences graves, même avec une note jugée faible.
Un autre problème majeur est l’absence de système de mise à jour automatique de 7-Zip. Les utilisateurs doivent donc télécharger et installer manuellement la version 25.01 pour bénéficier du correctif. Ce processus peut être long, en particulier dans les entreprises où chaque poste doit être mis à jour individuellement.
Mesures préventives et contexte de 7-Zip
La version 25.01 de 7-Zip introduit un changement crucial : la gestion des liens symboliques est modifiée pour bloquer par défaut l’accès aux zones critiques. Seules les commandes avancées activées par l’utilisateur permettent de contourner cette sécurité, mais leur utilisation doit être réservée à des contextes bien contrôlés.
7-Zip, créé par Igor Pavlov en 1999, est devenu un outil essentiel pour la compression et la décompression de fichiers. Connu pour son efficacité et sa gratuité, il est largement utilisé à travers le monde. Cependant, comme tout logiciel populaire, il représente une cible de choix pour les cyberattaques. Les vulnérabilités découvertes cette année, y compris CVE-2025-55188, soulignent l’importance de rester vigilant et de maintenir ses outils informatiques à jour pour garantir la sécurité des systèmes.