Si vous tenez à votre PC, n’installez pas WinRAR !
WinRAR est utilisé par des millions de personnes à travers le monde, et ces quelques lignes devrait par conséquent intéresser pas mal de gens. Ce n’est rien de le dire car un chercheur s’est rendu compte que la dernière version de l’application comportait des risques. Plus de 500 millions d’utilisateurs sont menacés.
Ce risque concerne une fonction spécifique propre aux fichiers SFX. Elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur la machine d’une victime lorsqu’elle ouvre une archive infectée de ce type.
Le pire reste à venir car cette faille n’en est pas vraiment une et vous allez très vite comprendre pourquoi.
Non, ce n’est pas une faille, c’est… une fonctionnalité !
A la base, lorsqu’un utilisateur créé une archive SFX, il a aussi la possibilité d’insérer du code HTML dans un champ spécifique. Il lui suffit pour se faire de se rendre dans le menu SFX, puis dans les options SFX avancées, puis dans le menu “Texte et icône” et enfin dans “Texte à afficher dans la fenêtre SFX”.
Il n’est même pas nécessaire de bidouiller le programme pour parvenir à ce résultat puisque cette fonction est parfaitement… officielle.
Le problème, c’est que tout le code présent dans cette zone sera automatiquement exécuté lorsque l’utilisateur lancera la décompression de l’archive. Il est donc possible de forcer l’archive à télécharger un code malveillant en s’ouvrant. Le risque est important.
WinRAR, lui, ne voit pas les choses de cette manière.
Pour la firme, une archive auto-extractible fonctionne comme n’importe quel exécutable et elle est risquée par nature. En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge. Le meilleur reste à venir car un représentant de la société a aussi indiqué qu’il est possible depuis plusieurs années d’intégrer un exécutable dans une archive et de le lancer automatiquement en décompressant un fichier.
En d’autres termes, ce n’est pas uniquement la dernière version de l’outil qui est dangereuse. Toutes les versions précédentes comportent des risques et c’est précisément pour cette raison qu’il est indispensable de bien faire attention à la provenance des fichiers exécutés.
WinRAR n’est d’ailleurs pas le seul outil à proposer ce genre de fonctionnalités.
Je ne vais pas vous mentir, la position de l’éditeur me laisse assez perplexe. Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier avant de le décompresser et je pense sincèrement que WinRAR ne devrait pas prendre ce problème à la légère.
MAJ : J’ai édité cet article pour mieux préciser ma pensée. J’en ai aussi profité pour tempérer mes propos puisque vous avez été nombreux à me faire des retours là dessus.
Euh non. Ne pas installer winrar ne protège pas de la faille et l’installer n’expose pas à la faille.
Le principe d’une archive auto-extractible est de pouvoir être décompressée sans outil de décompression. A partir du moment ou l’utilisateur double-clique sur l’exécutable il exécute le code potentiellement malveillant et s’expose à la faille quel que soient les outils de décompression installés sur sa machine.
Relis l’article. Le coup de l’archive auto-extractible, c’est la réponse de WinRAR. L’éditeur a été critiqué sur une fonction bien spécifique, le SFX.
Et relis les commentaires…
SFX = SelF Extracting archive, donc on parle bien de la même chose : l’unique fonctionnalité d’auto-extraction, qui est créée avec WinRAR (donc potentiellement avec des intentions malveillantes), mais n’a pas besoin ensuite de WinRAR pour fonctionner (donc équivalente à n’importe quel autre exécutable)
OPEN YOU§r MIND PLEASE !
Est ce que tu as lu la source ?
Oui je l’ai lue et :
1/ est-ce vraiment un expert qui a écrit ça, sérieusement ? il me semble que si un expert veut être pris au sérieux, il fait un minimum attention à la forme de ce qu’il écrit et là c’est pour le moins farfelu au niveau de la forme…
2/ n’y a-t-il pas potentiellement le même genre de problème avec les SFX créés à partir d’autres logiciels ? (c’est une question ouverte)
1/ J’en doute fortement, mais il a récemment à faire un peu de buzz au moins.
2/ Effectivement ce problème est commun à toutes les archives auto exécutable et de manière plus générale à tous les binaires dont la source n’est pas sûre.
Pour te répondre.
1/ Son profil LinkedIn est ici : https://www.linkedin.com/in…. Je ne le connais pas personnellement mais il a l’air d’avoir un background assez complet.
2/ C’est une bonne question. J’ai l’impression que WinRAR ne propose pas les mêmes options que ses concurrents mais c’est à confirmer.
C’est n’est pas du remote code execution, puisque l’utilisateur doit exécuter lui même l’archive modifié. On peut le faire sans Winrar et ce module en ajoutant quelques lignes d’asm avant le début de la décompression. C’est juste un “chercheur” qui a cherché a faire du buzz auprès de journalistes crédules et peu informés.
Oui, en effet, cela nécessite bien une action de la part de l’utilisateur. Notez que ce n’est pas le plus difficile à obtenir. Il suffit de trouver le bon nom pour ton archive.
Une action qui consiste à le faire exécuter un binaire. Et c’est là tout le problème, si c’était une archive simple et qu’il y avait possibilité de code execution ce serait bien une faille de sécurité mais puisqu’il s’agit d’une archive auto exécutable ça n’en ai pas une, je comprends très bien la réponse de Winrar qui est parfaitement adaptée.
Je comprends leur position, bien sûr. En même temps, je me demande aussi s’il n’est pas possible de mettre en place une méthode de vérification en amont pour éviter le téléchargement et l’installation d’un script malicieux.
Ça ne servirait à rien, puisqu’une fois l’utilitaire à fini de créer l’exécutable, rien n’empêche une personne malveillante de rajouter manuellement le code nécessaire pour faire la même chose. Et là aucune protection n’est possible. Même un hash interne peut être modifié, la seule solution est de faire signer son exécutable par une autorité tierce de confiance.
À lire les commentaires sur d’autres sites, on dirait bien que c’est de cela qu’il s’agit, une tentative de faire le buzz. Il m’est difficile de juger, mais à partir du moment où un utilisateur lance un exécutable, tout peut arriver, SFX ou pas…
Perso, les archives auto-extactibles, je les ouvre comme une archive normale avec 7zip : clic droit -> Ouvrir… Ainsi, je décompresse ce que je veux où je veux, en minimisant les risques :)
Au cas où :
A remote code execution vulnerability has been discovered in the official WInRAR SFX v5.21 software.
The vulnerability allows remote attackers to unauthorized execute system specific code to comrpomise a target system.
The issue is located in the `Text and Icon` function of the `Text to display in SFX window` module. Remote attackers
are
able to generate own compressed archives with maliciuous payloads to execute system specific codes for compromise. The
attackers
saved in the sfx archive input the malicious generated html code. Thus results in a system specific code execution when
a target
user or system is processing to open the comprossed archive.
The security risk of the code execution vulnerability is estimated as critical with a cvss (common vulnerability
scoring system) count of 9.2.
Exploitation of the code execution vulnerability requires low user interaction (open file) without privilege system or
restricted user accounts.
Successful exploitation of the remote code execution vulnerability in the WinRAR SFX software results in system,
network or device compromise.
Définition du sigle SFX : self-extracting archive
un peu alarmiste pour quelque chose qui existe depuis des années. Bienvenu dans le monde de l’informatique, si on télécharge n’importe quoi on prends des risques.
Pourquoi ne pas faire un article “si vous tenez à votre PC ne vous abonnez pas à internet” ?
C’est quoi ce raccourci ?
Là on parle d’un problème qui touche WinRAR et le SFX. Point barre.
attention, il y a une faille dans ma voiture, elle peux rouler a plus de 130km/h. n’achetez pas de voiture c’est dangereux.
Exactement, l’article n’a tout simplement pas de fond et ce qui fait monter au créneau quelques personnes lucides… ce n’est pas parce qu’on met un titre alarmant que l’article doit être pris au sérieux.
Je redis ce que j’ai déjà écrit plus haut : ouvrez votre esprit à ce que d’autres peuvent écrire et vous verrez peut-être que votre article, même s’il part d’un bon sentiment, n’est pas adéquat.
on ne parle pas d’un problème mais d’une fonction avancée qui, comme beaucoup de choses, peux être mal utilisée.
Bravo, vous êtes des ouf. Vous venez de découvrir quelque chose qu’on sait depuis des années. Moi même je créer ce type d’archive. Si vous avez peur, au lieu de faire un simple clique, faite plutôt un clique droit et suivez les autres méthodes d’ouverture de votre archive. Pour rappel, d’autres compresseurs aussi ont cette fonctionnalité.
Je n’ai pas peur, merci. En revanche je pense que c’est important d’informer les gens, oui.
Le problème étant que tu les désinformes là… Ton titre revient à dire “N’installez pas SublimeText’ parce que certaines personnes se servent de SublimeText pour écrire des bots malveillants… C’est juste n’importe quoi…
donc ce que tu connais tout le monde connais ?
le soucis est que le problème est discret alors que l’utilisateur est souvent prévenu par divers sources qu’il faut éviter de lancer un executable inconnu…
Mais une archive auto-exctractible EST un exécutable, le problème n’est pas plus discret que pour n’importe quel autre exécutable.
Dans l’absolu oui, mais pas pour la plupart des gens.
Tu veux un exemple concret ? Ma belle-mère m’appelle à chaque fois qu’elle veut installer un nouveau logiciel pour être sûr de ne pas faire de bêtises. En revanche, quand elle voit une archive quelle qu’elle soit, elle ne se pose pas la moindre question. Pour elle, c’est juste une manière d’envoyer plus facilement des photos.
Mais c’est un programme, pas une archive. Même visuellement, l’OS le présente comme un programme quelconque. Le seul élément qui pourrait porter à confusion c’est l’icône qui ressemble à celle de WinRAR. Mais là encore, c’est très facile de coller une icône de fichier rar, jpeg, pdf, etc.. sur un exécutable.
On peut même le faire facilement par après et de manière automatique, donc pour un éventuel attaquant ça serait probablement plus simple de maquiller son malware en lui collant une icône familière (et cela se fait déjà).
“En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge”… euh, oui comme il devrait le faire à chaque fois!!!
Oui, dans un monde parfait tous les utilisateurs feraient attention à ce qu’ils téléchargent. Mieux, les voitures ne pollueraient pas et la guerre n’existerait pas.
Troll spotted… :(
Ce n’est pas vraiment un troll, plus de la fatigue. Trop d’agressivité ici.
C’est toi qui provoque cette agressivité inutile avec un faux article sur une fausse faille…
D’ailleurs comment distinguer un exécutable d’un sfx… Bin c’est impossible car un sfx c’est juste un exécutable que winrar nous a aider à faire…
La vraie faille de sécurité c’est qu’un exécutable puisse exécuter du code ne faisant pas ce qu’on aurait souhaité qu’il fasse…
Winrar n’a rien à se reprocher par contre les auteurs de la découverte de cette faille faut qu’ils reprennent des cours d’info…
Le journaliste n’a rien entravé, comme d’ab…
Il n’y a pas de faille Winrar et le problème évoqué n’en est pas vraiment un et concerne uniquement les archives AUTOEXTRACTIBLE.
En fait, il est possible, et depuis un bail, d’insérer des exécutables ou du code d’ailleurs pas forcement html dans la création d’un auto-exécutable winrar ce qui permet par exemple d’insérer les instructions nécessaires pour installer un logiciel.
Une fonctionnalité que l’on peut trouver dans TOUS les programmes permettant de créer des exécutables sur un ordi.
L”expert” qui a publié cela a juste découvert une fonctionnalité de Winrar.
TOUT EXECUTABLE, peut contenir du code malveillant dont du code html… Il faut donc s’assurer que le fichier soit émis par une source sur et fiable comme n’importe quel fichier exécutable présent sur un ordinateur.
Relis l’article. Le début surtout.
Arrretes un peu ton délire, c’est pas une faille !!!
Si t’enlève la possibilité d’insérer des instructions dans un SFX c’est quoi l’interet de créer des SFX ??? Eviter l’installation de winrar sur le client ???
En plus que Winrar soit installé ou pas ca change rien puisque on parle de ficher auto extractible relis donc le titre de ton article…
En persevérant tu confirmes qu’effectivement tu entraves que dalle !!!
Tu peux rester poli ? Tu vas voir, c’est tout de suite mieux quand on parle correctement.
Le problème ici, c’est que ces foutus instructions peuvent être utilisées pour télécharger et exécuter un code malveillant à l’insu de l’utilisateur. Notez que je ne suis pas le seul à trouver ça dangereux puisqu’un chercheur en sécurité – Mohammad Reza Espargham – a tiré la sonnette d’alarme.
Est ce que tu comprends la différences ?
Comme indiqué dans l’article et dans mes commentaires, WinRAR a ensuite répliqué en évoquant les fichiers auto-extractibles. Ce n’est pas eux qui sont pointés du doigt, mais plutôt le côté freestyle du SFX.
Après, tu peux aussi choisir de déformer mes propos et de faire ton troll si ça t’amuse, mais je t’invite VRAIMENT à relire l’article et mes commentaires.
N’importe qui peut créer un fichier .exe avec ou sans WinRar. Si on veux créer un cheval de Troie, on n’a pas besoin de WinRar, n’importe quel compilateur fait l’affaire.
Si WinRar supprime sa fonctionnalité de création d’archive auto extractible, cela ne changera rien pour les personnes mal intentionnée qui pourront toujours mettre ce qu’elles veulent dans les exécutables qu’elles créent avec des outils de développement/compilation classiques.
Installer ou pas WinRar n’a aucune conséquence sur la possibilité d’être la cible de code malicieux. C’est justement pour permettre aux personnes qui n’ont pas de décompresseur installé (donc qui n’ont pas WinRar installé) que ces logiciels permettent de créer des archives autoextractibles.
Certes, mais c’est bien aussi de dire que les archives auto-extractibles peuvent comporter des risques.
Mais le problème, c’est que l’article n’insiste pas là-dessus du tout, mais préfère affirmer que les utilisateurs qui ont installé WinRar sont mis en danger par cette fonction (“500 millions d’utilisateurs menacés”), alors que cette fonction ne pose absolument aucun soucis de sécurité aux utilisateurs de WinRar en particulier : c’est simplement une erreur de dire le contraire. S’il y avait une menace nouvelle qulelconque, c’est l’ensemble des utilisateurs de Windows qui en serait la cible potentielle.
Mais l’article ne pose pas cette question et s’il le faisait, il devrait répondre que ce n’est pas le cas, ou alors a un niveau si marginal qu’il ferait passer une surdose homéopathique pour un choque anaphylactique.
En effet, pour qu’une quelconque attaque avec WinRar soit produite, il faut trouver un hacker qui n’aurait pas réussi à créer un éxécutable sans utiliser WinRar mais qui aurait réussi à coder l’éxécutable que l’archive auto-extractible veut exécuter… Un peu absurde.
Relis l’article et le commentaire… tout surtout… et surtout ouvre ton esprit à ce que les autres personnes peuvent apporter comme point de vue alternatif.
N importe quoi cet article. Tout exécutable dont la source est inconnue est potentiellement dangereux. Que dire du code chez wolkswagen ? C est vraiment dommage de dénoncer à tort de la sorte un outil qui fait très bien son travail. Vous pourriez aussi faire un article “Si vous tenez à votre PC, n’installez pas java ” et bien d’autres encore …
Non, on parle ici d’un problème bien ciblé qui a été détecté par un expert en sécurité et qui peut poser problème. C’est important de le signaler.
Oui mais pourquoi rejeter en bloc tout l’outil ?
Le fichier SFX, une fois créé, est un exécutable comme un autre et il n’a pas besoin de WinRAR pour être exécuté, donc l’outil en lui-même n’est pas en cause, seulement l’utilisation malveillante qui peut en être faite…
Je n’ai pas été assez précis, en effet. C’est un module spécifique qui est concerné, pas tout le SFX. Cf la source de l’article : http://seclists.org/fulldis…
J’ajoute pour “Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier”… C’est très très difficile à analyser : les exécutables ont une extension en .exe et peuvent donc être TADAAAAA exécutés !
et les archives winrar ont en une extension en .rar :) clic droit – extraire quand Winrar est installé sur votre machine (pas de code exécuté)
Vous voilà maintenant expert en analyse de fichier !
Désolé mais ma mère et mon grand père ne savent même pas ce qu’est un EXE. Et il en va de même pour au moins 80% des utilisateurs.
Oui mais bon, si tu vas dans cette direction de raisonnement, ce n’est pas WinRAR le problème, c’est la connaissance des gens et donc tu peux tout aussi bien mettre un exécutable vérolé (autre qu’un auto-extractible WinRAR) en pièce jointe et ça se passera de la même façon… si je vais jusqu’au bout de ton raisonnement, il faudrait donc déconseiller tous les exécutables… non ? ;)
Non, parce qu’ici ce n’est pas les archives auto-extractibles qui posent problème. Le souci, c’est qu’on peut utiliser le SFX pour récupérer du code malveillant et l’exécuter sur la bécane. Et c’est vraiment ça qui peut être très dangereux.
Nan mais de quoi tu parles c’est moi ou quoi ?
Une archive SFX et auto extractible c’est la meme chose !!!
Oui, mais ici c’est un module qui pose problème. Va voir la source si tu ne me crois pas ! http://seclists.org/fulldis…
J’ai lu l’article…
On peut détourner une fonctionnalité SFX de Winrar pour exécuter du code pendant l’execution d’une archive auto executable. cela ne concerne donc que les archives exécutables. Je suis désolé mais je trouve que tu n’as pas fais le job de rechercher le problème…
Tiens voila un article plus clair qui traite le sujet
http://www.developpez.net/f…
Donc, c’est ce que je te disais plus haut. C’est rien comme problème par rapport a ce que tu peux mettre dans une archive auto exécutée.
Pour moi cela ne remet pas en cause la sécurité liée à l’installation de Winrar mais à l’exécution d’un fichier, comme tout exécutable, fusse t il une archive.
Ton titre est clairement abusif.
Mais il n’y a que l’auteur de l’archive qui peut utiliser cette “faille” pour télécharger du code à l’extraction, c’est absurde!
Si quelqu’un ne fait pas la différence entre un .rar et un .exe, alors il ne saura même pas que tel .exe est une archive Winrar auto-extractible, il ne sera donc pas plus induit en erreur que s’il s’agissait de n’importe quel autre exécutable malveillant.
De toute manière un exécutable peut faire ce qu’il veut, qu’importe qu’il soit créé depuis WinRaR ou autre chose.
Et au fait, SFX n’est que l’abréviation de “self-extracting”.
Ça fait 80% de danger potentiel. Faudrait songer à inventer un permis d’utiliser un ordinateur. Et interdire les compilateurs ça créé des failles dans les logiciels que 80% d’utilisateurs ne sont pas en mesure de détecter.
Tu as eu ou ces statistiques de 80%
D’autre part FZN s’adresse pas vraiment à ta mère ou ton grand pere !
il suffit de demander autour de soi… C’est proche du 100% même.
Ensuite, les grands peres utilisent ce qu’on leur fournit souvent
enfin, il y a plein de sécurités sur les exe dans les windows, dans les sites on prévient mais peu sur les SFX jusqu’à maintenant… donc oui c’est un soucis
Un fichier SFX c’est un .exe.
Attention une faille chez windows permets d’installer winrar. Surtout n’installez pas windows. Ne lisez pas non plus cet article ce serait une perte de temps… Les autres posts ont l’air tout autant d’étre de l’intox. Une faille dans l’algorithme de Google l’aura répertorié dans son flux d’actualité. Ah oui, il ne faut pas utiliser Google non plus c’est volontairement bourré de failles !
…
Ça concerne les archives exécutables auto extractibles. Installer ou désinstaller WinRAR ne change rien.
Le problème sur WinRAR vient du SFX. L’archive auto extractibles est l’exemple donné par l’éditeur.
Une faille est un défaut de sécurité dans le code d’un programme.
La faille informatique la plus connue reste l’utilisateur lui même. Si vos parents et grands parents ne sont pas en mesure d’assurer leur sécurité informatique et que c’est important pour vous, je vous suggère de corriger cette faille rapidement !
Je connais aussi le dicton, mais là franchement… aucun rapport. Cf tous mes autres commentaires.