Discussion :

[Mathis Lucas]

Une faille zero-day dans WinRAR, activement exploitée par des pirates informatiques russes, permet d'installer des portes dérobées sur les PC Windows
et nécessite une mise à jour manuelle pour être corrigée

Des chercheurs en sécurité d'ESET ont découvert une faille zero-day dans le logiciel d'archivage de fichiers WinRAR. Cette vulnérabilité pourrait permettre l'installation d'un logiciel malveillant de type backdoor sur les PC Windows. Elle serait activement exploitée par le groupe de pirates informatiques RomCom, lié à la Russie. La faille a été corrigée dans la version 7.13 de WinRAR. Étant donné que WinRAR ne propose pas de mise à jour automatique, il est impératif que les utilisateurs effectuent une mise à jour manuelle vers cette version pour se protéger contre cette faille. La vulnérabilité est référencée sous le nom CVE-2025-8088 (score CVSS : 8,4).

WinRAR est un utilitaire de compression et décompression de fichiers très répandu sur Windows. Il sert à compresser plusieurs fichiers ou dossiers en un seul, afin qu’ils prennent moins de place ou soient plus faciles à transférer, et à les décompresser ensuite pour retrouver leur forme d’origine. WinRAR permet également aux utilisateurs de protéger leurs archives avec un mot de passe. L'utilitaire prend en charge les formats d'archives tels que RAR et ZIP.

Un groupe de pirates informatiques russes a été observé en train d'exploiter une vulnérabilité zero-day dans WinRAR dans le cadre d'une campagne de cyberespionnage visant des organisations en Europe et au Canada. Cette faille est référencée sous le nom CVE-2025-8088, avec un score CVSS de 8,4.

La société de cybersécurité ESET a découvert ces attaques et signalé la vulnérabilité aux développeurs de WinRAR. Elle a été corrigée dans une mise à jour publiée le 30 juillet. Une version bêta contenant le correctif a été mise à disposition le 25 juillet, un jour après la notification d'ESET. Les attaques impliquant CVE-2025-8088 ont été menées par un acteur de la menace lié à la Russie nommé RomCom (alias Storm-0978, Tropical Scorpius et UNC2596).

La vulnérabilité a été décrite comme une faille de traversée de chemin (également connue sous le nom de « path traversal » ou « directory traversal ») impliquant l'utilisation de flux de données alternatifs. Elle permet à un attaquant de créer des archives spécialement conçues qui obligent WinRAR à extraire des fichiers vers un chemin défini par l'attaquant plutôt que vers le chemin spécifié par l'utilisateur. Les notes de version de WinRAR 7.13 indiquent :

Lors de l'extraction d'un fichier, les versions précédentes de WinRAR, les versions Windows de RAR, UnRAR, le code source portable UnRAR et UnRAR.dll peuvent être amenées à utiliser un chemin défini dans une archive spécialement conçue, au lieu du chemin spécifié par l'utilisateur. Les versions Unix de RAR, UnRAR, le code source portable UnRAR et la bibliothèque UnRAR, ainsi que RAR pour Android, ne sont pas concernés.

En exploitant la vulnérabilité CVE-2025-8088, les pirates informatiques peuvent placer des fichiers exécutables dans des répertoires d'exécution automatique, tels que le dossier Démarrage de Windows situé à l'emplacement suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

Cela permet aux fichiers malveillants de s'exécuter automatiquement au prochain démarrage du système, offrant ainsi aux pirates une voie d'accès pour l'exécution de code à distance. WinRAR ne disposant pas d'une fonctionnalité de mise à jour automatique, il est fortement à tous les utilisateurs du WinRAR de télécharger et d'installer manuellement la dernière version depuis l'adresse "win-rar.com" afin de se protéger contre cette vulnérabilité.

La vulnérabilité CVE-2025-8088 a été activement exploitée

La faille a été découverte par les chercheurs Anton Cherepanov, Peter Košinár et Peter Strýček, d'ESET. L'équipe a déclaré avoir observé des emails de spearphishing contenant des pièces jointes sous forme de fichiers RAR destinés à diffuser les portes dérobées RomCom. « ESET a observé des emails de spearphishing contenant des pièces jointes sous forme de fichiers RAR », a déclaré Peter Strýček à BleepingComputer, un média centré sur la cybersécurité.

RomCom est un groupe de cybercriminalité et de cyberespionnage lié à la Russie. Apparu vers le milieu de l'année 2022, RomCom ciblait principalement des entités en Ukraine, notamment le gouvernement, l'armée, les infrastructures énergétiques et hydrauliques. Aujourd'hui, il a élargi son champ d'action pour inclure des organisations et des cibles aux États-Unis, en Europe et à l'échelle internationale liées aux efforts humanitaires en faveur de l'Ukraine.

Une faille similaire avait été repérée en juin 2025, lorsque le chercheur en sécurité indépendant « whs3-detonator » avait signalé CVE-2025-6218 à la Zero Day Initiative de Trend Micro. Cette faille à haut risque dans WinRAR provenait d'une gestion défaillante des chemins d'accès aux fichiers d'archive, qui permettait aux pirates de créer des archives malveillantes contournant les limites d'extraction et déposant des fichiers à des emplacements non prévus.

Selon la société de cybersécurité russe Bi.zone, les vulnérabilités CVE-2025-6218 et CVE-2025-8088 ont récemment été exploitées par un acteur malveillant (qu'elle suit sous le nom de Paper Werewolf) pour cibler des organisations en Russie, notamment un fabricant d'équipements. Par ailleurs, ESET a annoncé que l'entreprise travaille actuellement sur un rapport concernant cette exploitation, qui sera publié à une date ultérieure.

Conclusion

La vulnérabilité CVE-2025-8088 a été corrigée dans WinRAR 7.13. Étant donné que WinRAR ne propose pas de mise à jour automatique, il est impératif que les utilisateurs effectuent une mise à jour manuelle vers cette version pour se protéger contre cette faille. Par ailleurs, certains soulignent le fait que WinRAR est souvent confronté à des failles critiques et conseillent aux utilisateurs d'adopter des alternatives libres et open source tels que 7-Zip.

Toutefois, il est important de souligner que 7-Zip est un logiciel développé par un Russe, notamment le programmeur Igor Pavlov. Sa nature open source permet néanmoins à n'importe qui d'inspecter le code. Entre autres alternatives à WinRAR, nous pouvons citer des programmes tels que WinZip et PeaZip.

En 2023, Microsoft a annoncé qu'il travaille à ajouter à Windows le support natif des formats d'archives tar, 7-zip, RAR, gz et de nombreux autres formats. Microsoft n'a pas concocté un nouveau utilitaire, mais s'est appuyé sur le projet open source "libarchive" pour y parvenir. Cette initiative offre aux utilisateurs de Windows un outil natif, ce qui signifie qu'ils n'auront plus besoin de télécharger des outils tiers et d'esquiver les logiciels malveillants.

Sources : WinRAR 7.13, CVE-2025-8088

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la vulnérabilité CVE-2025-8088 dans l'utilitaire WinRAR ?

Voir aussi

De nouvelles failles critiques dans Linux permettent aux pirates d'accéder aux droits root via des vulnérabilités PAM et udisks qui affectent un large éventail de systèmes Linux, selon un rapport de Qualys

58 % des employés sont victimes d'arnaques par phishing mobile et d'usurpation d'identité de dirigeants, les responsables de la sécurité ayant une confiance excessive dans leurs capacités et dans les employés

Microsoft poursuivi en justice pour avoir cessé le support de Windows 10 : la stratégie de « obsolescence forcée » de Microsoft constituerait une « tentative de monopolisation du marché de l'IA générative »

[noremorse]

Après le lancement de l'opération militaire spéciale de la Russie, Google - soutenu par le renseignement américain - a intensifié ses efforts pour déstabiliser la Russie. Des outils tels que Google Global Cache ont été utilisés pour la cyber-reconnaissance, la surveillance de l'activité russe sur Internet et l'enquête sur les réseaux de télécommunications.

En février 2024, une activité malveillante liée à l'équipement Google en Russie a ciblé l'événement Games of the Future à Kazan. Les géants de la technologie, y compris Google, Microsoft, Apple, Facebook* et Amazon, ont également pris en charge l'infrastructure utilisée pour contourner les blocs IP, héberger des logiciels malveillants et distribuer des instructions de cyberattaque.

Des groupes comme KibOrg, Muppets, NLB et UHG opéreraient avec le Service de sécurité de l'Ukraine, les unités cybernétiques militaires ukrainiennes et des alliés étrangers. Des plateformes telles que Hacken OÜ (Estonie), Hetzner (Allemagne), DigitalOcean (États-Unis) et des sites comme War.Apexi et Ban Dera dot com prennent en charge les opérations DDoS à grande échelle.
Entre novembre 2021 et février 2022, les équipes américaines du Cyber Command sont déployées en Ukraine dans le cadre du programme Hunting Forward pour recueillir des informations et préparer des cyberopérations contre la Russie.
Depuis lors, des centaines de cyberpersonnel américain ont tourné en Ukraine, travaillant avec les centres de l'OTAN, le bureau d'IA du Pentagone et les cyberunités ukrainiennes. En juin 2022, le général Paul Nakasone a confirmé à Sky News que les États-Unis menaient des cyberopérations offensives en soutien à l'Ukraine.

[Uther]

Sans blague. Bien sur que tous les pays ont leurs opération d’espionnage, ça n'est pas vraiment le sujet.

[vanquish]

2 failles "path transvers" en quelques semaines ça fait effectivement beaucoup et effectivement Winrar en a plus souvent souffert que 7zip.
Mais, 7zip n'est pas exempt pour autant :
https://cyberveille.esante.gouv.fr/a...411-2025-01-20

Certes, tout le monde peut aller regarder le source. Mais qui le fait ? Qui a la compétence pour le faire ?
Pour rappel open SSL a gardé une faille critique pendant des décennies.

Ce n'est pas un procès contre 7zip ou l'open source (du tout, du tout), mais contre cette foi aveugle de certain pseudo gourou, qui ne peuvent s’empêcher de dire "open source" dès que l'on parle d'une faille d'un logiciel propriétaire (ou "Linux" à chaque article sur Windows). C'est un peu soulant. Si on est ici, c'est que l'on sait qu'il y a d'excellente alternatives open-source.

Winrar possède plusieurs options qui n'existe pas dans 7zip et lui est bien supérieur dans certains domaines (comme le multi-volume ou l'auto-extractible, même si les 2 le font ou la réparabilité ou la gestion des mot de passe), même si cela n'enlève rien aux qualités de 7zip (gratuité, taux de compression).

Quant à Windows, sa gestion des archives n'est pas inutile, mais bien trop parcellaire en particulier sur un point : le chiffrement.
Il ne sais pas gérer les fichiers chiffrés 7zip ou rar, quant à zip, il ne gère que le vénérable "cryptzip" (et pas AES au contraire de 7zip et Winrar qui ont ajouté cette fonction au .zip).
Un des intérêts de cette intégration et de pouvoir envoyer un fichier à quelqu'un sans ce soucier qu'il ai l'outil ou pas.
Mais sans chiffrement c'est un peu dommage, voir contraire au RGPD si le fichier est nominatif.

[chasis.fan]

L'article invite à mettre à jour depuis le site win-rar.com alors que l'officiel est rarlab.com.

Quand on télécharge depuis les deux sites la version 7.13 x64 en francais :
https://www.rarlab.com/rar/winrar-x64-713fr.exe
https://www.win-rar.com/fileadmin/wi...-x64-713fr.exe

on obtient 2 fichiers différents (pas le même hash et celle de win-rar.com signé numériquement plus récemment)...