Clicky

Si vous tenez à votre PC, n’installez pas WinRAR !

WinRAR est utilisé par des millions de personnes à travers le monde, et ces quelques lignes devrait par conséquent intéresser pas mal de gens. Ce n’est rien de le dire car un chercheur s’est rendu compte que la dernière version de l’application comportait des risques. Plus de 500 millions d’utilisateurs sont menacés.

Ce risque concerne une fonction spécifique propre aux fichiers SFX. Elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur la machine d’une victime lorsqu’elle ouvre une archive infectée de ce type.

Faille WinRAR

WinRAR n’est pas aussi sécurisé qu’on le pensait. Il vaudra mieux vous en méfier.

Le pire reste à venir car cette faille n’en est pas vraiment une et vous allez très vite comprendre pourquoi.

Non, ce n’est pas une faille, c’est… une fonctionnalité !

A la base, lorsqu’un utilisateur créé une archive SFX, il a aussi la possibilité d’insérer du code HTML dans un champ spécifique. Il lui suffit pour se faire de se rendre dans le menu SFX, puis dans les options SFX avancées, puis dans le menu « Texte et icône » et enfin dans « Texte à afficher dans la fenêtre SFX ».

Il n’est même pas nécessaire de bidouiller le programme pour parvenir à ce résultat puisque cette fonction est parfaitement… officielle.

Le problème, c’est que tout le code présent dans cette zone sera automatiquement exécuté lorsque l’utilisateur lancera la décompression de l’archive. Il est donc possible de forcer l’archive à télécharger un code malveillant en s’ouvrant. Le risque est important.

WinRAR, lui, ne voit pas les choses de cette manière.

Pour la firme, une archive auto-extractible fonctionne comme n’importe quel exécutable et elle est risquée par nature. En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge. Le meilleur reste à venir car un représentant de la société a aussi indiqué qu’il est possible depuis plusieurs années d’intégrer un exécutable dans une archive et de le lancer automatiquement en décompressant un fichier.

En d’autres termes, ce n’est pas uniquement la dernière version de l’outil qui est dangereuse. Toutes les versions précédentes comportent des risques et c’est précisément pour cette raison qu’il est indispensable de bien faire attention à la provenance des fichiers exécutés.

WinRAR n’est d’ailleurs pas le seul outil à proposer ce genre de fonctionnalités.

Je ne vais pas vous mentir, la position de l’éditeur me laisse assez perplexe. Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier avant de le décompresser et je pense sincèrement que WinRAR ne devrait pas prendre ce problème à la légère.

MAJ : J’ai édité cet article pour mieux préciser ma pensée. J’en ai aussi profité pour tempérer mes propos puisque vous avez été nombreux à me faire des retours là dessus.

Via

Mots-clés sécuritéwinrar

Share this post

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.

  • seb64

    Euh non. Ne pas installer winrar ne protège pas de la faille et l’installer n’expose pas à la faille.
    Le principe d’une archive auto-extractible est de pouvoir être décompressée sans outil de décompression. A partir du moment ou l’utilisateur double-clique sur l’exécutable il exécute le code potentiellement malveillant et s’expose à la faille quel que soient les outils de décompression installés sur sa machine.

    • Relis l’article. Le coup de l’archive auto-extractible, c’est la réponse de WinRAR. L’éditeur a été critiqué sur une fonction bien spécifique, le SFX.

      • B@loo

        Et relis les commentaires…
        SFX = SelF Extracting archive, donc on parle bien de la même chose : l’unique fonctionnalité d’auto-extraction, qui est créée avec WinRAR (donc potentiellement avec des intentions malveillantes), mais n’a pas besoin ensuite de WinRAR pour fonctionner (donc équivalente à n’importe quel autre exécutable)

        OPEN YOU§r MIND PLEASE !

        • Est ce que tu as lu la source ?

          • B@loo

            Oui je l’ai lue et :
            1/ est-ce vraiment un expert qui a écrit ça, sérieusement ? il me semble que si un expert veut être pris au sérieux, il fait un minimum attention à la forme de ce qu’il écrit et là c’est pour le moins farfelu au niveau de la forme…
            2/ n’y a-t-il pas potentiellement le même genre de problème avec les SFX créés à partir d’autres logiciels ? (c’est une question ouverte)

          • Teldar

            1/ J’en doute fortement, mais il a récemment à faire un peu de buzz au moins.
            2/ Effectivement ce problème est commun à toutes les archives auto exécutable et de manière plus générale à tous les binaires dont la source n’est pas sûre.

          • Pour te répondre.

            1/ Son profil LinkedIn est ici : https://www.linkedin.com/in/rezasp. Je ne le connais pas personnellement mais il a l’air d’avoir un background assez complet.

            2/ C’est une bonne question. J’ai l’impression que WinRAR ne propose pas les mêmes options que ses concurrents mais c’est à confirmer.

          • Teldar

            C’est n’est pas du remote code execution, puisque l’utilisateur doit exécuter lui même l’archive modifié. On peut le faire sans Winrar et ce module en ajoutant quelques lignes d’asm avant le début de la décompression. C’est juste un « chercheur » qui a cherché a faire du buzz auprès de journalistes crédules et peu informés.

          • Oui, en effet, cela nécessite bien une action de la part de l’utilisateur. Notez que ce n’est pas le plus difficile à obtenir. Il suffit de trouver le bon nom pour ton archive.

          • Teldar

            Une action qui consiste à le faire exécuter un binaire. Et c’est là tout le problème, si c’était une archive simple et qu’il y avait possibilité de code execution ce serait bien une faille de sécurité mais puisqu’il s’agit d’une archive auto exécutable ça n’en ai pas une, je comprends très bien la réponse de Winrar qui est parfaitement adaptée.

          • Je comprends leur position, bien sûr. En même temps, je me demande aussi s’il n’est pas possible de mettre en place une méthode de vérification en amont pour éviter le téléchargement et l’installation d’un script malicieux.

          • Teldar

            Ça ne servirait à rien, puisqu’une fois l’utilitaire à fini de créer l’exécutable, rien n’empêche une personne malveillante de rajouter manuellement le code nécessaire pour faire la même chose. Et là aucune protection n’est possible. Même un hash interne peut être modifié, la seule solution est de faire signer son exécutable par une autorité tierce de confiance.

          • À lire les commentaires sur d’autres sites, on dirait bien que c’est de cela qu’il s’agit, une tentative de faire le buzz. Il m’est difficile de juger, mais à partir du moment où un utilisateur lance un exécutable, tout peut arriver, SFX ou pas…

            Perso, les archives auto-extactibles, je les ouvre comme une archive normale avec 7zip : clic droit -> Ouvrir… Ainsi, je décompresse ce que je veux où je veux, en minimisant les risques :)

        • Au cas où :

          A remote code execution vulnerability has been discovered in the official WInRAR SFX v5.21 software.
          The vulnerability allows remote attackers to unauthorized execute system specific code to comrpomise a target system.

          The issue is located in the `Text and Icon` function of the `Text to display in SFX window` module. Remote attackers
          are
          able to generate own compressed archives with maliciuous payloads to execute system specific codes for compromise. The
          attackers
          saved in the sfx archive input the malicious generated html code. Thus results in a system specific code execution when
          a target
          user or system is processing to open the comprossed archive.

          The security risk of the code execution vulnerability is estimated as critical with a cvss (common vulnerability
          scoring system) count of 9.2.
          Exploitation of the code execution vulnerability requires low user interaction (open file) without privilege system or
          restricted user accounts.
          Successful exploitation of the remote code execution vulnerability in the WinRAR SFX software results in system,
          network or device compromise.

      • Zeddlynx

        Définition du sigle SFX : self-extracting archive

  • Marty

    un peu alarmiste pour quelque chose qui existe depuis des années. Bienvenu dans le monde de l’informatique, si on télécharge n’importe quoi on prends des risques.
    Pourquoi ne pas faire un article « si vous tenez à votre PC ne vous abonnez pas à internet » ?

    • C’est quoi ce raccourci ?

      Là on parle d’un problème qui touche WinRAR et le SFX. Point barre.

      • Marty

        attention, il y a une faille dans ma voiture, elle peux rouler a plus de 130km/h. n’achetez pas de voiture c’est dangereux.

        • B@loo

          Exactement, l’article n’a tout simplement pas de fond et ce qui fait monter au créneau quelques personnes lucides… ce n’est pas parce qu’on met un titre alarmant que l’article doit être pris au sérieux.
          Je redis ce que j’ai déjà écrit plus haut : ouvrez votre esprit à ce que d’autres peuvent écrire et vous verrez peut-être que votre article, même s’il part d’un bon sentiment, n’est pas adéquat.

      • Marty

        on ne parle pas d’un problème mais d’une fonction avancée qui, comme beaucoup de choses, peux être mal utilisée.

  • momo

    Bravo, vous êtes des ouf. Vous venez de découvrir quelque chose qu’on sait depuis des années. Moi même je créer ce type d’archive. Si vous avez peur, au lieu de faire un simple clique, faite plutôt un clique droit et suivez les autres méthodes d’ouverture de votre archive. Pour rappel, d’autres compresseurs aussi ont cette fonctionnalité.

    • Je n’ai pas peur, merci. En revanche je pense que c’est important d’informer les gens, oui.

      • Mark Knopfeuille

        Le problème étant que tu les désinformes….

    • zef

      donc ce que tu connais tout le monde connais ?
      le soucis est que le problème est discret alors que l’utilisateur est souvent prévenu par divers sources qu’il faut éviter de lancer un executable inconnu…

      • Symen

        Mais une archive auto-exctractible EST un exécutable, le problème n’est pas plus discret que pour n’importe quel autre exécutable.

        • Dans l’absolu oui, mais pas pour la plupart des gens.

          Tu veux un exemple concret ? Ma belle-mère m’appelle à chaque fois qu’elle veut installer un nouveau logiciel pour être sûr de ne pas faire de bêtises. En revanche, quand elle voit une archive quelle qu’elle soit, elle ne se pose pas la moindre question. Pour elle, c’est juste une manière d’envoyer plus facilement des photos.

          • Symen

            Mais c’est un programme, pas une archive. Même visuellement, l’OS le présente comme un programme quelconque. Le seul élément qui pourrait porter à confusion c’est l’icône qui ressemble à celle de WinRAR. Mais là encore, c’est très facile de coller une icône de fichier rar, jpeg, pdf, etc.. sur un exécutable.

            On peut même le faire facilement par après et de manière automatique, donc pour un éventuel attaquant ça serait probablement plus simple de maquiller son malware en lui collant une icône familière (et cela se fait déjà).

  • mitch Chel

    « En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge »… euh, oui comme il devrait le faire à chaque fois!!!

    • Oui, dans un monde parfait tous les utilisateurs feraient attention à ce qu’ils téléchargent. Mieux, les voitures ne pollueraient pas et la guerre n’existerait pas.

      • B@loo

        Troll spotted… :(

        • Ce n’est pas vraiment un troll, plus de la fatigue. Trop d’agressivité ici.

          • Alexandre Restil

            C’est toi qui provoque cette agressivité inutile avec un faux article sur une fausse faille…
            D’ailleurs comment distinguer un exécutable d’un sfx… Bin c’est impossible car un sfx c’est juste un exécutable que winrar nous a aider à faire…
            La vraie faille de sécurité c’est qu’un exécutable puisse exécuter du code ne faisant pas ce qu’on aurait souhaité qu’il fasse…

            Winrar n’a rien à se reprocher par contre les auteurs de la découverte de cette faille faut qu’ils reprennent des cours d’info…

  • Philippe Morvan

    Le journaliste n’a rien entravé, comme d’ab…
    Il n’y a pas de faille Winrar et le problème évoqué n’en est pas vraiment un et concerne uniquement les archives AUTOEXTRACTIBLE.

    En fait, il est possible, et depuis un bail, d’insérer des exécutables ou du code d’ailleurs pas forcement html dans la création d’un auto-exécutable winrar ce qui permet par exemple de faire d’insérer l’installation d’un logiciel par exemple. C’est la même fonctionnalité que l’on peut trouver dans des framework comme Windev et son WDinst (ou un truc comme ça) pour créer des archives auto-éxécutées pour, par exemple installer un logiciel sur un ordi.

    L »expert » qui a publié cela a juste découvert une fonctionnalité de Winrar.
    Évidement, comme DANS TOUT EXECUTABLE, cela peut contenir du code malveillant dont du code html… Il faut donc s’assurer que le fichier est émis par une source sur et fiable comme n’importe quel fichier exécutable présent sur un ordinateur.

    • Relis l’article. Le début surtout.

      • Philippe Morvan

        Arrretes un peu ton délire, c’est pas une faille !!!
        Si t’enlève la possibilité d’insérer des instructions dans un SFX c’est quoi l’interet de créer des SFX ??? Eviter l’installation de winrar sur le client ???

        En plus que Winrar soit installé ou pas ca change rien puisque on parle de ficher auto extractible relis donc le titre de ton article…

        En persevérant tu confirmes qu’effectivement tu entraves que dalle !!!

        • Tu peux rester poli ? Tu vas voir, c’est tout de suite mieux quand on parle correctement.

          Le problème ici, c’est que ces foutus instructions peuvent être utilisées pour télécharger et exécuter un code malveillant à l’insu de l’utilisateur. Notez que je ne suis pas le seul à trouver ça dangereux puisqu’un chercheur en sécurité – Mohammad Reza Espargham – a tiré la sonnette d’alarme.

          Est ce que tu comprends la différences ?

          Comme indiqué dans l’article et dans mes commentaires, WinRAR a ensuite répliqué en évoquant les fichiers auto-extractibles. Ce n’est pas eux qui sont pointés du doigt, mais plutôt le côté freestyle du SFX.

          Après, tu peux aussi choisir de déformer mes propos et de faire ton troll si ça t’amuse, mais je t’invite VRAIMENT à relire l’article et mes commentaires.

          • sylvainlp

            N’importe qui peut créer un fichier .exe avec ou sans WinRar. Si on veux créer un cheval de Troie, on n’a pas besoin de WinRar, n’importe quel compilateur fait l’affaire.

            Si WinRar supprime sa fonctionnalité de création d’archive auto extractible, cela ne changera rien pour les personnes mal intentionnée qui pourront toujours mettre ce qu’elles veulent dans les exécutables qu’elles créent avec des outils de développement/compilation classiques.

            Installer ou pas WinRar n’a aucune conséquence sur la possibilité d’être la cible de code malicieux. C’est justement pour permettre aux personnes qui n’ont pas de décompresseur installé (donc qui n’ont pas WinRar installé) que ces logiciels permettent de créer des archives autoextractibles.

          • Certes, mais c’est bien aussi de dire que les archives auto-extractibles peuvent comporter des risques.

          • sylvainlp

            Mais le problème, c’est que l’article n’insiste pas là-dessus du tout, mais préfère affirmer que les utilisateurs qui ont installé WinRar sont mis en danger par cette fonction (« 500 millions d’utilisateurs menacés »), alors que cette fonction ne pose absolument aucun soucis de sécurité aux utilisateurs de WinRar en particulier : c’est simplement une erreur de dire le contraire. S’il y avait une menace nouvelle qulelconque, c’est l’ensemble des utilisateurs de Windows qui en serait la cible potentielle.

            Mais l’article ne pose pas cette question et s’il le faisait, il devrait répondre que ce n’est pas le cas, ou alors a un niveau si marginal qu’il ferait passer une surdose homéopathique pour un choque anaphylactique.

            En effet, pour qu’une quelconque attaque avec WinRar soit produite, il faut trouver un hacker qui n’aurait pas réussi à créer un éxécutable sans utiliser WinRar mais qui aurait réussi à coder l’éxécutable que l’archive auto-extractible veut exécuter… Un peu absurde.

      • B@loo

        Relis l’article et le commentaire… tout surtout… et surtout ouvre ton esprit à ce que les autres personnes peuvent apporter comme point de vue alternatif.

  • Laurent

    N importe quoi cet article. Tout exécutable dont la source est inconnue est potentiellement dangereux. Que dire du code chez wolkswagen ? C est vraiment dommage de dénoncer à tort de la sorte un outil qui fait très bien son travail. Vous pourriez aussi faire un article « Si vous tenez à votre PC, n’installez pas java  » et bien d’autres encore …

    • Non, on parle ici d’un problème bien ciblé qui a été détecté par un expert en sécurité et qui peut poser problème. C’est important de le signaler.

      • B@loo

        Oui mais pourquoi rejeter en bloc tout l’outil ?
        Le fichier SFX, une fois créé, est un exécutable comme un autre et il n’a pas besoin de WinRAR pour être exécuté, donc l’outil en lui-même n’est pas en cause, seulement l’utilisation malveillante qui peut en être faite…

  • Philippe Morvan

    J’ajoute pour « Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier »… C’est très très difficile à analyser : les exécutables ont une extension en .exe et peuvent donc être TADAAAAA exécuté !
    et les archives winrar en en une extension en .rar :) clic droit – extraire quand Winrar est installé sur votre machine (pas de code exécuté)

    Vous voilà maintenant expert en analyse de fichier !

    • Désolé mais ma mère et mon grand père ne savent même pas ce qu’est un EXE. Et il en va de même pour au moins 80% des utilisateurs.

      • B@loo

        Oui mais bon, si tu vas dans cette direction de raisonnement, ce n’est pas WinRAR le problème, c’est la connaissance des gens et donc tu peux tout aussi bien mettre un exécutable vérolé (autre qu’un auto-extractible WinRAR) en pièce jointe et ça se passera de la même façon… si je vais jusqu’au bout de ton raisonnement, il faudrait donc déconseiller tous les exécutables… non ? ;)

        • Non, parce qu’ici ce n’est pas les archives auto-extractibles qui posent problème. Le souci, c’est qu’on peut utiliser le SFX pour récupérer du code malveillant et l’exécuter sur la bécane. Et c’est vraiment ça qui peut être très dangereux.

          • Philippe Morvan

            Nan mais de quoi tu parles c’est moi ou quoi ?
            Une archive SFX et auto extractible c’est la meme chose !!!

          • Oui, mais ici c’est un module qui pose problème. Va voir la source si tu ne me crois pas ! http://seclists.org/fulldisclosure/2015/Sep/106

          • Philippe Morvan

            J’ai lu l’article…
            On peut détourner une fonctionnalité SFX de Winrar pour exécuter du code pendant l’execution d’une archive auto executable. cela ne concerne donc que les archives exécutables. Je suis désolé mais je trouve que tu n’as pas fais le job de rechercher le problème…

            Tiens voila un article plus clair qui traite le sujet

            http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/

            Donc, c’est ce que je te disais plus haut. C’est rien comme problème par rapport a ce que tu peux mettre dans une archive auto exécutée.
            Pour moi cela ne remet pas en cause la sécurité liée à l’installation de Winrar mais à l’exécution d’un fichier, comme tout exécutable, fusse t il une archive.

            Ton titre est clairement abusif.

          • « On peut détourner une fonctionnalité SFX de Winrar pour exécuter du code pendant l’execution d’une archive auto executable. »

            Voilà, c’est bien résumé. Et on est d’accord, on peut faire pire.

            Après, pour le titre de l’article, je te le concède, il est peut-être un poil trop incisif. Mais on aurait pu en discuter calmement, sans se sauter à la gorge l’un de l’autre.

            L’article de Developpez.net est effectivement bien détaillé. Je n’étais pas tombé dessus dans mes recherches en revanche.

          • Symen

            Mais il n’y a que l’auteur de l’archive qui peut utiliser cette « faille » pour télécharger du code à l’extraction, c’est absurde!
            Si quelqu’un ne fait pas la différence entre un .rar et un .exe, alors il ne saura même pas que tel .exe est une archive Winrar auto-extractible, il ne sera donc pas plus induit en erreur que s’il s’agissait de n’importe quel autre exécutable malveillant.
            De toute manière un exécutable peut faire ce qu’il veut, qu’importe qu’il soit créé depuis WinRaR ou autre chose.
            Et au fait, SFX n’est que l’abréviation de « self-extracting ».

      • arnith

        Ça fait 80% de danger potentiel. Faudrait songer à inventer un permis d’utiliser un ordinateur. Et interdire les compilateurs ça créé des failles dans les logiciels que 80% d’utilisateurs ne sont pas en mesure de détecter.

      • Philippe Morvan

        Nan mais comme tu planes ???
        Tu as eu ou ces statistiques de 80%
        D’autre part FZN s’adresse pas vraiment à ta mère ou ton grand pere !

        • zef

          il suffit de demander autour de soi… C’est proche du 100% même.
          Ensuite, les grands peres utilisent ce qu’on leur fournit souvent
          enfin, il y a plein de sécurités sur les exe dans les windows, dans les sites on prévient mais peu sur les SFX jusqu’à maintenant… donc oui c’est un soucis

          • Philippe Morvan

            Un fichier SFX c’est un .exe.

  • FAI

    Attention une faille chez windows permets d’installer winrar. Surtout n’installez pas windows. Ne lisez pas non plus cet article ce serait une perte de temps… Les autres posts ont l’air tout autant d’étre de l’intox. Une faille dans l’algorithme de Google l’aura répertorié dans son flux d’actualité. Ah oui, il ne faut pas utiliser Google non plus c’est volontairement bourré de failles !

  • Spartone

    Ça concerne les archives exécutables auto extractibles. Installer ou désinstaller WinRAR ne change rien.

    • Le problème sur WinRAR vient du SFX. L’archive auto extractibles est l’exemple donné par l’éditeur.

  • arnith

    Une faille est un défaut de sécurité dans le code d’un programme.
    La faille informatique la plus connue reste l’utilisateur lui même. Si vos parents et grands parents ne sont pas en mesure d’assurer leur sécurité informatique et que c’est important pour vous, je vous suggère de corriger cette faille rapidement !

    • Je connais aussi le dicton, mais là franchement… aucun rapport. Cf tous mes autres commentaires.

  • Riadh

    Le titre est carrément stupide! Vous incendiez l’application Winrar qui fait des merveilles depuis une dizaine d’année pour une faille connue et qui existe depuis sa création par définition : Les fichiers exécutables sont par définition potentiellement dangereux… et surtout, si vous n’installez pas Winrar, les archives AUTOexécutables le seront encore…

    • Il y a un moment où vous allez lire l’article avant de commenter ?

      Je te résume brièvement la situation :

      1. Le SFX de WinRAR peut être utilisé pour télécharger du code malveillant et l’exécuter sur la machine parce que l’outil n’intègre aucune protection.

      2. Un expert en sécurité (pas moi, donc) tombe là dessus et fait remonter l’info à l’éditeur pour l’avertir du danger.

      3. WinRAR n’en a absolument rien à battre et il se contente de dire que c’est comme pour les archives auto-extractibles.

      Le problème, ce ne sont les archives auto-extractibles, MAIS CE FOUTU SFX. En majuscules, ce sera peut-être plus clair.

      Et je suis désolé mais t’as largement mieux que WinRAR depuis des années.

      • Mais, SFX = archive auto-extractible, non ?

        • Oui mais là je fais allusion à la manière dont il est géré par WinRAR.

  • Teldar

    Malgré tous les commentaires vous n’avez toujours pas compris pourquoi un tel article révèle un manque sérieux de recherche. Une archive SFX est une archive auto exécutable, c’est pourquoi winrar précise et à juste que la seule sécurité est de vérifier la source.

    • Et comme je le précise, c’est une fonction très spécifique qui est concernée.

      • Teldar

        C’est bien mais de toutes façon à partir du moment où un utilisateur exécute un binaire non vérifié tout peut se passer. Cette fonctionnalité ne met pas plus en danger que n’importe quel autre type d’archive auto exécutable. Donc c’est un click bait.

        • Tu es libre de penser ce que tu veux.

          Maintenant, je persiste et je signe : cette fonction est dangereuse, et à plus d’un titre.

          Après, WinRAR n’est pas le seul concerné, c’est vrai. J’ai édité l’article en prenant en compte tes commentaires, et ceux des autres.

          • Teldar

            Le concept d’archive auto extractible est dangereux à lui tout seul, le fait qu’il puisse exécuter du code n’est pas plus dangereux que ça. Comme il est déconseillé d’exécuter un script sh sans connaître si origine, il est déconseillé d’exécuter une archive sans connaître son origine. Le ton, le titre et le fond de l’article ne révèle pas du tout ça et fait plutôt penser à un article destiné à faire peur et faire des vues qu’une véritable mise en garde suivi de conseil de bonne pratique. Mais bon chacun est libre de définir sa ligne éditoriale

  • Pingback: WinRar : Une grosse faille qui n'en est pas vraiment une ? - Mes Actus()

  • Karl

    Je vais peut-être dire des conneries mais si j’ai bien compris l’article, ce n’est pas le SFX qui déconne niveau sécurité, mais plutôt les options ajoutées par Winrar au moment de la création de l’archive, c’est ça ? Genre c’est là que les pirates peuvent intégrer un code malicieux, dans le champ évoqué dans l’article ?

    • C’est aussi ce que j’ai compris.

      • Askar

        Alors pourquoi conseiller de ne pas installer WinRAR ?
        WinRAR permet seulement de creer un SFX qui lance du code, il n’est pas necessaire d’avoir WinRAR pour lancer cet executable.

        Si vous voulez trouver ou parler de faille, regardez plutot les CVE que n’importe quel post sur full disclosure, qui pour rappel est une liste ouverte à tous, et ou regulierement il y a des messages ridicules.

        • En effet, là, je suis d’accord et j’ai édité l’article pour préciser que WinRAR n’est pas le seul concerné.

    • En même temps, n’importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c’est que c’est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire.

      • Teldar

        C’est effectivement le seul débat à avoir, à savoir la facilité d’inclusion de code. Mais je pense que c’est un faux débat, car même si c’est plus simple avec Winrar, ça ne règle pas le problème de la payload qui va infecter le PC. Donc dans presque tous les cas, la personne a déjà les connaissances pour altérer des binaires et les rendre malicieux.

        • Bah, là il suffit de savoir manipuler le copier/coller pour créer une archive vérolée quand même….

          • Teldar

            Ouais mais copier/coller quoi ? On trouve pas comme ça un binaire tout fait pour faire un botnet ou un ransomware. Et là en étant réaliste on se rend compte que les personnes qui pourraient utiliser cette fonctionnalité n’en ont absolument pas besoin.

  • Sebd

    Une faille qui n’en est pas une. Pourquoi distribuer un exécutable « A » qui installe un exécutable « B » alors qu’il suffit de distribuer directement l’exécutable B en l’appelant « A » ?

    C’est ce qui se passe dans cette soit disant faille découverte.

    Comme des gens n’ont pas WinRAR installé sur leur PC, si on envoie ses photos de famille dans un fichier mesphotos.rar, le destinataire pourrait ne pas savoir comment l’ouvrir. C’est la qu’intervient l’option SFX : WinRAR permet de générer un fichier mesphotos.exe qui va se décompresser tout seul même si WinRAR n’est pas installé car WinRAR est incorporé dans le fichier .exe.

    Et là il y a la méchante option dans WinRAR qui permet de télécharger automatiquement virus.exe quand on lance mesphotos.exe

    Mais voila, pourquoi s’embêter avec WinRAR pour faire ça alors qu’il suffit de renommer virus.exe en mesphotos.exe avant de l’envoyer ?

    C’est le problème avec tout exécutable, soit il est signé (par Microsoft sous Windows par exemple), soit il ne l’est pas et alors il ne faut l’installer que si on fait confiance à la personne qui l’a créé et qu’on est certain qu’il n’a pas été altéré entre temps (toujours télécharger sur le site officiel de l’application).

    • Je n’aurais pas du utiliser le terme « faille » dans les premiers paragraphes, c’est vrai, mais je précise ensuite que ce n’en est pas une. Bref, j’ai quand même édité l’article.

  • v1nce

    N’importe quoi. Il est encore temps pour l’auteur de se raviser et de se désolidariser de l' »expert » qui est en train de se préparer une réputation d’enfer.

    • Ah, donc tu vas me prouver que le mec raconte des conneries c’est ça ?

      • v1nce

        En résumé : oui

        > The vulnerability allows remote attackers to unauthorized execute system specific code to comrpomise a target system
        Subtilité : C’est pas la faille qui est (exécutable à) distance ce sont les attaquants.
        Remarque s’ils étaient déjà sur le pc ils n’auraient qu’à double-cliquer sur l’exe.

        > Exploitation of the code execution vulnerability requires low user interaction (open file)
        Si on va par là, lancer jevaisformatertondisquedur.exe en double cliquant dessus ne requiert ni plus ni moins d’interaction.

        > Successful exploitation of the remote code execution vulnerability
        « remote » ? On touche le fond là.

        > Je ne vais pas vous mentir, la position de l’éditeur me laisse assez perplexe
        Elle est pourtant parfaitement compréhensible.

        En caricaturant (à peine) je prends n’importe quel exe ; un coup de resedit et je lui mets l’icône d’un document Word ;
        Est-ce que tu vas titrer « Si vous tenez à votre PC n’installez pas Office » en indiquant que c’est scandaleux que Microsoft doit faire quelque chose
        que les gens ne sont pas assez instruits et qu’ils cliquent à tort et à travers sur des « documents » alors que ceux-ci ont l’extension « .exe »

  • Goss Colltic

    C’est domage de faire des articles aussi ininteressant sur un sujet si important qu’est la sécurité informatique des particuliers.

    C’est justement très domagable pour les particuliers de tomber sur ces sites qui ne sont pas capables d’expliquer clairement ce qu’il se passe.

    Je ne vais pas répéter tout ce qui a pu être dit dans les différents commentaires mais vous êtes tout de même responsable de la désinformations de ceux qui n’ont pas les compétences techniques pour comprendre et déceller dans votre article les abus ou pire les âneries.

    Quand je lis  » En d’autres termes, ce n’est pas uniquement la dernière version de l’outil qui est dangereuse. »

    je mets à la place de ma mère ou d’une autre personne aillant le même niveau de connaissances et je me dis … oula mais faut pas que j’utilise cet utilitaire.
    Vous vous êtes discrédité tout seul. C’est domage. Vous mentez à ceux qui ne sont pas capable de comprendre les tenants et aboutissants de cet outil. C’est honteux.
    Enfin comme d’hab, il faut toujours se méfier des journaleux d’internet (quoi j’ai pas le droit de faire des raccourcis moi aussi ?)

    • Bah, mon article est inintéressant et tu prends la peine de le commenter ? Tu dois vraiment t’ennuyer, non ?

      J’explique clairement le problème dans l’article. Si tu ne l’as pas lu, ce n’est pas de ma faute. Et tu parles de désinformation alors que le risque existe bel et bien. Après, tu es libre de remettre en cause mes compétences comme je suis libre de remettre en cause les tiennes.

      Tu peux te mettre à la place de qui tu veux. Les archives auto-extractibles sont dangereuses. Les options proposées par WinRAR le sont également. Au moins autant qu’un exécutable traditionnel et c’est important de le signaler. Point barre.

  • messi

    Après c’est comme tout fichier, ne pas le télécharger n’importe est où, tout les installer sur 01.net et commentcamarche qui son bourrer de logiciels malveillants (même si ils demande l’avis avant, mais pour ceux qui connaissent pas …)

    Bref pour télécharger un fichier il faut le faire sur le site officiel et sinon regarder la réputation du site et/ou les commentaires si c’est un fichier sur un forums.

    • Yep, tu as raison et c’est aussi pour ça que l’AppStore, le Mac App Store et le Windows Store marchent autant.

      • J’ai pas compris ?!

        • RiderFx3

          Il dit ça parce que les store officiels permettent de limiter, voir annuler l’installation de logiciels tiers pendant l’installation d’un autre logiciel.

  • brthr

    Toute cette animosité dans les commentaires…

    Les gens qui ne sont pas d’accord et qui peuvent démontrer par A+B que l’article est inexact feraient mieux de s’exprimer plus poliment et ensuite ajouter leur pierre à l’édifice plutôt que d’incendier Fred ou n’importe quel autre rédacteur sur n’importe quel site que ce soit.
    Les commentaires sont ouverts pour créer un espace d’échange entre lui (eux) et nous, pas pour nous donner l’opportunité de cracher notre venin quand on aime pas un article ou que l’on estime savoir mieux que les autres (que ce soit vrai ou faux, peu importe).

    Bref, tout ça pour dire que j’ai lu l’article, j’ai aussi lu quelques commentaires et j’ai fini par me lasser de chercher à comprendre qui a tort ou raison.
    Les gars (filles inclues), comprenez que le journalisme n’est pas exempt d’erreurs, faux-pas et/ou étourderies,… mais aussi que la façon de présenter les choses laisse place à votre propre interprétation.

    Nul n’est infaillible.

    Et n’oubliez pas que si vous êtes tombés sur cet article c’est sans doute que vous faites partie des lecteurs réguliers du site et que, par conséquent, vous n’avez jamais eu à vous plaindre de son contenu.

    Soyez juste indulgents ou, si vous ne pouvez pas le faire, créez votre propre site/blog et donnez votre version de l’actu…

    Un lecteur blasé par les réactions de certaines personnes.

    • Je te remercie, ça fait vraiment du bien :)

      Et ça résume bien ma pensée en plus. Si les lecteurs ne sont pas d’accord avec l’article, ils peuvent effectivement le dire. Je suis le premier à apprécier les débats. Mais là, je t’avoue que ça m’a aussi pas mal blasé.

      Enfin, c’est aussi ça les internets.

      Merci encore en tout cas !

      • brthr

        Mais je t’en prie ;)

        Il y avait trop de négativité et pas assez de soutien par ici, j’me devais donc de pousser un petit coup de gueule parce que j’imagine que, parmi tes lecteurs, il doit aussi y avoir d’autres personnes que moi qui en pensent autant mais qui n’osent pas forcément se confronter à la masse dominante (comme tu dis, « c’est aussi ça les internets »)…

        En tout cas merci pour le boulot effectué chaque jours sur ton site et pour le fait de prendre la peine de répondre à tes lecteurs.

        • v1nce

          Disons que s’il n’avait pas adopté un titre aussi sensationnel et que s’il n’avait pas sous-entendu que les devs de winrar traitent leurs utilisateurs avec légéreté, ce serait peut-être passé un peu mieux. Renvoyer sèchement ses contradicteurs à la lecture de son article ça n’aide pas non plus

          • Contradicteurs ? Je pense que nous n’avons pas la même notion de ce terme. Maintenant, j’ai laissé tout le monde exposer son point de vue et j’ai répondu à peu près à chaque commentaire, y compris aux plus agressifs.

            Et il y avait quelques uns qui poussaient le bouchon un peu loin.

            Maintenant, j’assume mon article et son titre.

        • Et bah encore merci alors :)

  • newsoftpclab

    Si j’ai bien compris il ne faut pas installer la dernière version de winrar.C’est une question de securite.

    • v1nce

      Non, c’est n’importe quoi. Tu peux installer winrar sans problème. Ou 7zip. Le tout c’est de ne pas ouvrir des archives autoextractibles dont tu ne connais pas l’auteur. Faire preuve de bon sens quoi

      • Oui, mais pour faire preuve de bon sens, il faut encore savoir que les archives peuvent représenter un risque….

  • Toto

    /! EXCLUSIF & DETONNANT /!

    J’ai découvert suite à mes recherches une faille (extrêmement) critique dans Windows (toutes versions!), et j’offre ici l’exclusivité de la nouvelle (qui va buzzer mondialement à n’en pas douter):

    Le lancement d’un exécutable (.com, .exe) sous Windows est susceptible de permettre l’exécution de code malveillant sur la machine !!!

    SVP répandez l’info sans tarder car des milliards de PC sont en grand danger !

  • Pingback: [Brève] Une faille dans les exécutables générés par WinRAR - Mes Actus()

  • Pingback: WinRAR : une faille de sécurité sur ce logiciel que vous utilisez peut-être sans le savoir - Mes Actus()

  • ヒケム アリ

    Le titre de l’article devrait être  » Si vous tenez à l’information crédible éviter Frédéric Pereira … »

    • L’info est crédible. Tu es libre de ne pas y croire mais le fait est que WinRAR et sa gestion des fichiers auto-extractibles présentent des risques.

  • jey

    Ça fait des lustres que je l’utilise pour faire des blagounettes faut pas être un grand hacker pour savoir le faire

  • tylerkay

    Le niveau de suffisance et d’agressivité dans les commentaires…

    Tous les fichiers, et pas seulement les exécutables, sont potentiellement risqués, et cliquer droit ou gauche (cf certains commentaires..) ne change rien.

    WinRAR permet de créer des fichiers SFX, auto-extractibles, pouvant exécuter du code à l’insu de l’utilisateur. Comme, par exemple, Microsoft Office, et VBA, qui permet d’exécuter du code à l’insu de l’utilisateur, à l’ouverture d’un classeur excel par exemple.

    Microsoft à permis la désactivation des macros. Un article « Si vous tenez à votre PC, désactivez par défaut l’execution des macros VBA. » serait-il honteux? Je ne pense pas. C’est d’ailleurs la position officielle de Microsoft.

    WinRAR pourrait s’assurer qu’une archive auto-extractible se contente … d’extraire (sandbox pour éviter la création de nouveaux processus et de nouveaux fichiers), mais il s’agit ici d’un comportement voulu, WinRAR souhaite que ses exécutables puissent faire d’autres tâches que la simple extraction.

    Bref, pas de problème et pas de faille donc, mais un logiciel qui est, comme dans le cas des softs VBA, un nid à malwares.

    • Ton commentaire me fait beaucoup de bien.

      Je suis complètement d’accord avec toi et tu as parfaitement bien résumé ma pensée.

  • Lucas tillier

    Ahh j’aime bien quand il y a un réel échange entre l’auteur et ses lecteurs.
    C’est agréable de voir que l’auteur a pris en compte l’avis général qui lui pointe du doigt son erreur, afin qu’il là corrige en faisant son méa culpa, c’est vraiment un signe de maturité, qui montre qu’il a prit assez de recule avec son travail et surtout son égo.

    Dommage que ce ne soit pas le cas sur ce site.

    Merci aux commentateurs pour leurs très très nombreuses corrections, sans cela j’aurais été induit en erreur par cet auteur.

    • Dj

      Ouais enfin le mec répond à tous les commentaires. Il aurait aussi pu les couper ou vous laisser entre trolls.

      Je suis sur que la moitié des gars ici bossent pour winrar lol

  • Starshine

    Ben…la règle simple la même, attention aux fichiers exécutables, dans tous les cas.