Si vous tenez à votre PC, n’installez pas WinRAR !

WinRAR est utilisé par des millions de personnes à travers le monde, et ces quelques lignes devrait par conséquent intéresser pas mal de gens. Ce n’est rien de le dire car un chercheur s’est rendu compte que la dernière version de l’application comportait des risques. Plus de 500 millions d’utilisateurs sont menacés.

Ce risque concerne une fonction spécifique propre aux fichiers SFX. Elle permet à une personne mal intentionnée d’exécuter du code arbitraire sur la machine d’une victime lorsqu’elle ouvre une archive infectée de ce type.

Faille WinRAR
WinRAR n’est pas aussi sécurisé qu’on le pensait. Il vaudra mieux vous en méfier.

Le pire reste à venir car cette faille n’en est pas vraiment une et vous allez très vite comprendre pourquoi.

Non, ce n’est pas une faille, c’est… une fonctionnalité !

A la base, lorsqu’un utilisateur créé une archive SFX, il a aussi la possibilité d’insérer du code HTML dans un champ spécifique. Il lui suffit pour se faire de se rendre dans le menu SFX, puis dans les options SFX avancées, puis dans le menu “Texte et icône” et enfin dans “Texte à afficher dans la fenêtre SFX”.

Il n’est même pas nécessaire de bidouiller le programme pour parvenir à ce résultat puisque cette fonction est parfaitement… officielle.

Le problème, c’est que tout le code présent dans cette zone sera automatiquement exécuté lorsque l’utilisateur lancera la décompression de l’archive. Il est donc possible de forcer l’archive à télécharger un code malveillant en s’ouvrant. Le risque est important.

WinRAR, lui, ne voit pas les choses de cette manière.

Pour la firme, une archive auto-extractible fonctionne comme n’importe quel exécutable et elle est risquée par nature. En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge. Le meilleur reste à venir car un représentant de la société a aussi indiqué qu’il est possible depuis plusieurs années d’intégrer un exécutable dans une archive et de le lancer automatiquement en décompressant un fichier.

En d’autres termes, ce n’est pas uniquement la dernière version de l’outil qui est dangereuse. Toutes les versions précédentes comportent des risques et c’est précisément pour cette raison qu’il est indispensable de bien faire attention à la provenance des fichiers exécutés.

WinRAR n’est d’ailleurs pas le seul outil à proposer ce genre de fonctionnalités.

Je ne vais pas vous mentir, la position de l’éditeur me laisse assez perplexe. Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier avant de le décompresser et je pense sincèrement que WinRAR ne devrait pas prendre ce problème à la légère.

MAJ : J’ai édité cet article pour mieux préciser ma pensée. J’en ai aussi profité pour tempérer mes propos puisque vous avez été nombreux à me faire des retours là dessus.

YouTube video

Via

105 réflexions au sujet de “Si vous tenez à votre PC, n’installez pas WinRAR !”

  1. Euh non. Ne pas installer winrar ne protège pas de la faille et l’installer n’expose pas à la faille.
    Le principe d’une archive auto-extractible est de pouvoir être décompressée sans outil de décompression. A partir du moment ou l’utilisateur double-clique sur l’exécutable il exécute le code potentiellement malveillant et s’expose à la faille quel que soient les outils de décompression installés sur sa machine.

    Répondre
    • Relis l’article. Le coup de l’archive auto-extractible, c’est la réponse de WinRAR. L’éditeur a été critiqué sur une fonction bien spécifique, le SFX.

      Répondre
      • Et relis les commentaires…
        SFX = SelF Extracting archive, donc on parle bien de la même chose : l’unique fonctionnalité d’auto-extraction, qui est créée avec WinRAR (donc potentiellement avec des intentions malveillantes), mais n’a pas besoin ensuite de WinRAR pour fonctionner (donc équivalente à n’importe quel autre exécutable)

        OPEN YOU§r MIND PLEASE !

        Répondre
          • Oui je l’ai lue et :
            1/ est-ce vraiment un expert qui a écrit ça, sérieusement ? il me semble que si un expert veut être pris au sérieux, il fait un minimum attention à la forme de ce qu’il écrit et là c’est pour le moins farfelu au niveau de la forme…
            2/ n’y a-t-il pas potentiellement le même genre de problème avec les SFX créés à partir d’autres logiciels ? (c’est une question ouverte)

            Répondre
            • 1/ J’en doute fortement, mais il a récemment à faire un peu de buzz au moins.
              2/ Effectivement ce problème est commun à toutes les archives auto exécutable et de manière plus générale à tous les binaires dont la source n’est pas sûre.

              Répondre
          • C’est n’est pas du remote code execution, puisque l’utilisateur doit exécuter lui même l’archive modifié. On peut le faire sans Winrar et ce module en ajoutant quelques lignes d’asm avant le début de la décompression. C’est juste un “chercheur” qui a cherché a faire du buzz auprès de journalistes crédules et peu informés.

            Répondre
            • Oui, en effet, cela nécessite bien une action de la part de l’utilisateur. Notez que ce n’est pas le plus difficile à obtenir. Il suffit de trouver le bon nom pour ton archive.

              Répondre
              • Une action qui consiste à le faire exécuter un binaire. Et c’est là tout le problème, si c’était une archive simple et qu’il y avait possibilité de code execution ce serait bien une faille de sécurité mais puisqu’il s’agit d’une archive auto exécutable ça n’en ai pas une, je comprends très bien la réponse de Winrar qui est parfaitement adaptée.

              • Je comprends leur position, bien sûr. En même temps, je me demande aussi s’il n’est pas possible de mettre en place une méthode de vérification en amont pour éviter le téléchargement et l’installation d’un script malicieux.

              • Ça ne servirait à rien, puisqu’une fois l’utilitaire à fini de créer l’exécutable, rien n’empêche une personne malveillante de rajouter manuellement le code nécessaire pour faire la même chose. Et là aucune protection n’est possible. Même un hash interne peut être modifié, la seule solution est de faire signer son exécutable par une autorité tierce de confiance.

            • À lire les commentaires sur d’autres sites, on dirait bien que c’est de cela qu’il s’agit, une tentative de faire le buzz. Il m’est difficile de juger, mais à partir du moment où un utilisateur lance un exécutable, tout peut arriver, SFX ou pas…

              Perso, les archives auto-extactibles, je les ouvre comme une archive normale avec 7zip : clic droit -> Ouvrir… Ainsi, je décompresse ce que je veux où je veux, en minimisant les risques :)

              Répondre
        • Au cas où :

          A remote code execution vulnerability has been discovered in the official WInRAR SFX v5.21 software.
          The vulnerability allows remote attackers to unauthorized execute system specific code to comrpomise a target system.

          The issue is located in the `Text and Icon` function of the `Text to display in SFX window` module. Remote attackers
          are
          able to generate own compressed archives with maliciuous payloads to execute system specific codes for compromise. The
          attackers
          saved in the sfx archive input the malicious generated html code. Thus results in a system specific code execution when
          a target
          user or system is processing to open the comprossed archive.

          The security risk of the code execution vulnerability is estimated as critical with a cvss (common vulnerability
          scoring system) count of 9.2.
          Exploitation of the code execution vulnerability requires low user interaction (open file) without privilege system or
          restricted user accounts.
          Successful exploitation of the remote code execution vulnerability in the WinRAR SFX software results in system,
          network or device compromise.

          Répondre
  2. un peu alarmiste pour quelque chose qui existe depuis des années. Bienvenu dans le monde de l’informatique, si on télécharge n’importe quoi on prends des risques.
    Pourquoi ne pas faire un article “si vous tenez à votre PC ne vous abonnez pas à internet” ?

    Répondre
        • Exactement, l’article n’a tout simplement pas de fond et ce qui fait monter au créneau quelques personnes lucides… ce n’est pas parce qu’on met un titre alarmant que l’article doit être pris au sérieux.
          Je redis ce que j’ai déjà écrit plus haut : ouvrez votre esprit à ce que d’autres peuvent écrire et vous verrez peut-être que votre article, même s’il part d’un bon sentiment, n’est pas adéquat.

          Répondre
  3. Bravo, vous êtes des ouf. Vous venez de découvrir quelque chose qu’on sait depuis des années. Moi même je créer ce type d’archive. Si vous avez peur, au lieu de faire un simple clique, faite plutôt un clique droit et suivez les autres méthodes d’ouverture de votre archive. Pour rappel, d’autres compresseurs aussi ont cette fonctionnalité.

    Répondre
      • Le problème étant que tu les désinformes là… Ton titre revient à dire “N’installez pas SublimeText’ parce que certaines personnes se servent de SublimeText pour écrire des bots malveillants… C’est juste n’importe quoi…

        Répondre
    • donc ce que tu connais tout le monde connais ?
      le soucis est que le problème est discret alors que l’utilisateur est souvent prévenu par divers sources qu’il faut éviter de lancer un executable inconnu…

      Répondre
        • Dans l’absolu oui, mais pas pour la plupart des gens.

          Tu veux un exemple concret ? Ma belle-mère m’appelle à chaque fois qu’elle veut installer un nouveau logiciel pour être sûr de ne pas faire de bêtises. En revanche, quand elle voit une archive quelle qu’elle soit, elle ne se pose pas la moindre question. Pour elle, c’est juste une manière d’envoyer plus facilement des photos.

          Répondre
          • Mais c’est un programme, pas une archive. Même visuellement, l’OS le présente comme un programme quelconque. Le seul élément qui pourrait porter à confusion c’est l’icône qui ressemble à celle de WinRAR. Mais là encore, c’est très facile de coller une icône de fichier rar, jpeg, pdf, etc.. sur un exécutable.

            On peut même le faire facilement par après et de manière automatique, donc pour un éventuel attaquant ça serait probablement plus simple de maquiller son malware en lui collant une icône familière (et cela se fait déjà).

            Répondre
  4. “En gros, donc, l’utilisateur n’a qu’à faire attention à ce qu’il télécharge”… euh, oui comme il devrait le faire à chaque fois!!!

    Répondre
    • Oui, dans un monde parfait tous les utilisateurs feraient attention à ce qu’ils téléchargent. Mieux, les voitures ne pollueraient pas et la guerre n’existerait pas.

      Répondre
          • C’est toi qui provoque cette agressivité inutile avec un faux article sur une fausse faille…
            D’ailleurs comment distinguer un exécutable d’un sfx… Bin c’est impossible car un sfx c’est juste un exécutable que winrar nous a aider à faire…
            La vraie faille de sécurité c’est qu’un exécutable puisse exécuter du code ne faisant pas ce qu’on aurait souhaité qu’il fasse…

            Winrar n’a rien à se reprocher par contre les auteurs de la découverte de cette faille faut qu’ils reprennent des cours d’info…

            Répondre
  5. Le journaliste n’a rien entravé, comme d’ab…
    Il n’y a pas de faille Winrar et le problème évoqué n’en est pas vraiment un et concerne uniquement les archives AUTOEXTRACTIBLE.

    En fait, il est possible, et depuis un bail, d’insérer des exécutables ou du code d’ailleurs pas forcement html dans la création d’un auto-exécutable winrar ce qui permet par exemple d’insérer les instructions nécessaires pour installer un logiciel.
    Une fonctionnalité que l’on peut trouver dans TOUS les programmes permettant de créer des exécutables sur un ordi.

    L”expert” qui a publié cela a juste découvert une fonctionnalité de Winrar.
    TOUT EXECUTABLE, peut contenir du code malveillant dont du code html… Il faut donc s’assurer que le fichier soit émis par une source sur et fiable comme n’importe quel fichier exécutable présent sur un ordinateur.

    Répondre
      • Arrretes un peu ton délire, c’est pas une faille !!!
        Si t’enlève la possibilité d’insérer des instructions dans un SFX c’est quoi l’interet de créer des SFX ??? Eviter l’installation de winrar sur le client ???

        En plus que Winrar soit installé ou pas ca change rien puisque on parle de ficher auto extractible relis donc le titre de ton article…

        En persevérant tu confirmes qu’effectivement tu entraves que dalle !!!

        Répondre
        • Tu peux rester poli ? Tu vas voir, c’est tout de suite mieux quand on parle correctement.

          Le problème ici, c’est que ces foutus instructions peuvent être utilisées pour télécharger et exécuter un code malveillant à l’insu de l’utilisateur. Notez que je ne suis pas le seul à trouver ça dangereux puisqu’un chercheur en sécurité – Mohammad Reza Espargham – a tiré la sonnette d’alarme.

          Est ce que tu comprends la différences ?

          Comme indiqué dans l’article et dans mes commentaires, WinRAR a ensuite répliqué en évoquant les fichiers auto-extractibles. Ce n’est pas eux qui sont pointés du doigt, mais plutôt le côté freestyle du SFX.

          Après, tu peux aussi choisir de déformer mes propos et de faire ton troll si ça t’amuse, mais je t’invite VRAIMENT à relire l’article et mes commentaires.

          Répondre
          • N’importe qui peut créer un fichier .exe avec ou sans WinRar. Si on veux créer un cheval de Troie, on n’a pas besoin de WinRar, n’importe quel compilateur fait l’affaire.

            Si WinRar supprime sa fonctionnalité de création d’archive auto extractible, cela ne changera rien pour les personnes mal intentionnée qui pourront toujours mettre ce qu’elles veulent dans les exécutables qu’elles créent avec des outils de développement/compilation classiques.

            Installer ou pas WinRar n’a aucune conséquence sur la possibilité d’être la cible de code malicieux. C’est justement pour permettre aux personnes qui n’ont pas de décompresseur installé (donc qui n’ont pas WinRar installé) que ces logiciels permettent de créer des archives autoextractibles.

            Répondre
              • Mais le problème, c’est que l’article n’insiste pas là-dessus du tout, mais préfère affirmer que les utilisateurs qui ont installé WinRar sont mis en danger par cette fonction (“500 millions d’utilisateurs menacés”), alors que cette fonction ne pose absolument aucun soucis de sécurité aux utilisateurs de WinRar en particulier : c’est simplement une erreur de dire le contraire. S’il y avait une menace nouvelle qulelconque, c’est l’ensemble des utilisateurs de Windows qui en serait la cible potentielle.

                Mais l’article ne pose pas cette question et s’il le faisait, il devrait répondre que ce n’est pas le cas, ou alors a un niveau si marginal qu’il ferait passer une surdose homéopathique pour un choque anaphylactique.

                En effet, pour qu’une quelconque attaque avec WinRar soit produite, il faut trouver un hacker qui n’aurait pas réussi à créer un éxécutable sans utiliser WinRar mais qui aurait réussi à coder l’éxécutable que l’archive auto-extractible veut exécuter… Un peu absurde.

      • Relis l’article et le commentaire… tout surtout… et surtout ouvre ton esprit à ce que les autres personnes peuvent apporter comme point de vue alternatif.

        Répondre
  6. N importe quoi cet article. Tout exécutable dont la source est inconnue est potentiellement dangereux. Que dire du code chez wolkswagen ? C est vraiment dommage de dénoncer à tort de la sorte un outil qui fait très bien son travail. Vous pourriez aussi faire un article “Si vous tenez à votre PC, n’installez pas java ” et bien d’autres encore …

    Répondre
    • Non, on parle ici d’un problème bien ciblé qui a été détecté par un expert en sécurité et qui peut poser problème. C’est important de le signaler.

      Répondre
      • Oui mais pourquoi rejeter en bloc tout l’outil ?
        Le fichier SFX, une fois créé, est un exécutable comme un autre et il n’a pas besoin de WinRAR pour être exécuté, donc l’outil en lui-même n’est pas en cause, seulement l’utilisation malveillante qui peut en être faite…

        Répondre
  7. J’ajoute pour “Tous les utilisateurs n’ont pas les forcément les connaissances requises pour analyser un fichier”… C’est très très difficile à analyser : les exécutables ont une extension en .exe et peuvent donc être TADAAAAA exécutés !
    et les archives winrar ont en une extension en .rar :) clic droit – extraire quand Winrar est installé sur votre machine (pas de code exécuté)

    Vous voilà maintenant expert en analyse de fichier !

    Répondre
      • Oui mais bon, si tu vas dans cette direction de raisonnement, ce n’est pas WinRAR le problème, c’est la connaissance des gens et donc tu peux tout aussi bien mettre un exécutable vérolé (autre qu’un auto-extractible WinRAR) en pièce jointe et ça se passera de la même façon… si je vais jusqu’au bout de ton raisonnement, il faudrait donc déconseiller tous les exécutables… non ? ;)

        Répondre
        • Non, parce qu’ici ce n’est pas les archives auto-extractibles qui posent problème. Le souci, c’est qu’on peut utiliser le SFX pour récupérer du code malveillant et l’exécuter sur la bécane. Et c’est vraiment ça qui peut être très dangereux.

          Répondre
          • Mais il n’y a que l’auteur de l’archive qui peut utiliser cette “faille” pour télécharger du code à l’extraction, c’est absurde!
            Si quelqu’un ne fait pas la différence entre un .rar et un .exe, alors il ne saura même pas que tel .exe est une archive Winrar auto-extractible, il ne sera donc pas plus induit en erreur que s’il s’agissait de n’importe quel autre exécutable malveillant.
            De toute manière un exécutable peut faire ce qu’il veut, qu’importe qu’il soit créé depuis WinRaR ou autre chose.
            Et au fait, SFX n’est que l’abréviation de “self-extracting”.

            Répondre
      • Ça fait 80% de danger potentiel. Faudrait songer à inventer un permis d’utiliser un ordinateur. Et interdire les compilateurs ça créé des failles dans les logiciels que 80% d’utilisateurs ne sont pas en mesure de détecter.

        Répondre
        • il suffit de demander autour de soi… C’est proche du 100% même.
          Ensuite, les grands peres utilisent ce qu’on leur fournit souvent
          enfin, il y a plein de sécurités sur les exe dans les windows, dans les sites on prévient mais peu sur les SFX jusqu’à maintenant… donc oui c’est un soucis

          Répondre
  8. Attention une faille chez windows permets d’installer winrar. Surtout n’installez pas windows. Ne lisez pas non plus cet article ce serait une perte de temps… Les autres posts ont l’air tout autant d’étre de l’intox. Une faille dans l’algorithme de Google l’aura répertorié dans son flux d’actualité. Ah oui, il ne faut pas utiliser Google non plus c’est volontairement bourré de failles !

    Répondre
  9. Une faille est un défaut de sécurité dans le code d’un programme.
    La faille informatique la plus connue reste l’utilisateur lui même. Si vos parents et grands parents ne sont pas en mesure d’assurer leur sécurité informatique et que c’est important pour vous, je vous suggère de corriger cette faille rapidement !

    Répondre
  10. Le titre est carrément stupide! Vous incendiez l’application Winrar qui fait des merveilles depuis une dizaine d’année pour une faille connue et qui existe depuis sa création par définition : Les fichiers exécutables sont par définition potentiellement dangereux… et surtout, si vous n’installez pas Winrar, les archives AUTOexécutables le seront encore…

    Répondre
    • Il y a un moment où vous allez lire l’article avant de commenter ?

      Je te résume brièvement la situation :

      1. Le SFX de WinRAR peut être utilisé pour télécharger du code malveillant et l’exécuter sur la machine parce que l’outil n’intègre aucune protection.

      2. Un expert en sécurité (pas moi, donc) tombe là dessus et fait remonter l’info à l’éditeur pour l’avertir du danger.

      3. WinRAR n’en a absolument rien à battre et il se contente de dire que c’est comme pour les archives auto-extractibles.

      Le problème, ce ne sont les archives auto-extractibles, MAIS CE FOUTU SFX. En majuscules, ce sera peut-être plus clair.

      Et je suis désolé mais t’as largement mieux que WinRAR depuis des années.

      Répondre
  11. Malgré tous les commentaires vous n’avez toujours pas compris pourquoi un tel article révèle un manque sérieux de recherche. Une archive SFX est une archive auto exécutable, c’est pourquoi winrar précise et à juste titre que la seule sécurité est de vérifier la source.

    Répondre
      • C’est bien mais de toutes façon à partir du moment où un utilisateur exécute un binaire non vérifié tout peut se passer. Cette fonctionnalité ne met pas plus en danger que n’importe quel autre type d’archive auto exécutable. Donc c’est un click bait.

        Répondre
        • Tu es libre de penser ce que tu veux.

          Maintenant, je persiste et je signe : cette fonction est dangereuse, et à plus d’un titre.

          Après, WinRAR n’est pas le seul concerné, c’est vrai. J’ai édité l’article en prenant en compte tes commentaires, et ceux des autres.

          Répondre
          • Le concept d’archive auto extractible est dangereux à lui tout seul, le fait qu’il puisse exécuter du code n’est pas plus dangereux que ça. Comme il est déconseillé d’exécuter un script sh sans connaître si origine, il est déconseillé d’exécuter une archive sans connaître son origine. Le ton, le titre et le fond de l’article ne révèle pas du tout ça et fait plutôt penser à un article destiné à faire peur et faire des vues qu’une véritable mise en garde suivi de conseil de bonne pratique. Mais bon chacun est libre de définir sa ligne éditoriale

            Répondre
  12. Je vais peut-être dire des conneries mais si j’ai bien compris l’article, ce n’est pas le SFX qui déconne niveau sécurité, mais plutôt les options ajoutées par Winrar au moment de la création de l’archive, c’est ça ? Genre c’est là que les pirates peuvent intégrer un code malicieux, dans le champ évoqué dans l’article ?

    Répondre
      • Alors pourquoi conseiller de ne pas installer WinRAR ?
        WinRAR permet seulement de creer un SFX qui lance du code, il n’est pas necessaire d’avoir WinRAR pour lancer cet executable.

        Si vous voulez trouver ou parler de faille, regardez plutot les CVE que n’importe quel post sur full disclosure, qui pour rappel est une liste ouverte à tous, et ou regulierement il y a des messages ridicules.

        Répondre
    • En même temps, n’importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c’est que c’est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire.

      Répondre
      • C’est effectivement le seul débat à avoir, à savoir la facilité d’inclusion de code. Mais je pense que c’est un faux débat, car même si c’est plus simple avec Winrar, ça ne règle pas le problème de la payload qui va infecter le PC. Donc dans presque tous les cas, la personne a déjà les connaissances pour altérer des binaires et les rendre malicieux.

        Répondre
          • Ouais mais copier/coller quoi ? On trouve pas comme ça un binaire tout fait pour faire un botnet ou un ransomware. Et là en étant réaliste on se rend compte que les personnes qui pourraient utiliser cette fonctionnalité n’en ont absolument pas besoin.

            Répondre
  13. Une faille qui n’en est pas une. Pourquoi distribuer un exécutable “A” qui installe un exécutable “B” alors qu’il suffit de distribuer directement l’exécutable B en l’appelant “A” ?

    C’est ce qui se passe dans cette soit disant faille découverte.

    Comme des gens n’ont pas WinRAR installé sur leur PC, si on envoie ses photos de famille dans un fichier mesphotos.rar, le destinataire pourrait ne pas savoir comment l’ouvrir. C’est la qu’intervient l’option SFX : WinRAR permet de générer un fichier mesphotos.exe qui va se décompresser tout seul même si WinRAR n’est pas installé car WinRAR est incorporé dans le fichier .exe.

    Et là il y a la méchante option dans WinRAR qui permet de télécharger automatiquement virus.exe quand on lance mesphotos.exe

    Mais voila, pourquoi s’embêter avec WinRAR pour faire ça alors qu’il suffit de renommer virus.exe en mesphotos.exe avant de l’envoyer ?

    C’est le problème avec tout exécutable, soit il est signé (par Microsoft sous Windows par exemple), soit il ne l’est pas et alors il ne faut l’installer que si on fait confiance à la personne qui l’a créé et qu’on est certain qu’il n’a pas été altéré entre temps (toujours télécharger sur le site officiel de l’application).

    Répondre
    • Je n’aurais pas du utiliser le terme “faille” dans les premiers paragraphes, c’est vrai, mais je précise ensuite que ce n’en est pas une. Bref, j’ai quand même édité l’article.

      Répondre
  14. N’importe quoi. Il est encore temps pour l’auteur de se raviser et de se désolidariser de l'”expert” qui est en train de se préparer une réputation d’enfer.

    Répondre
      • En résumé : oui

        > The vulnerability allows remote attackers to unauthorized execute system specific code to comrpomise a target system
        Subtilité : C’est pas la faille qui est (exécutable à) distance ce sont les attaquants.
        Remarque s’ils étaient déjà sur le pc ils n’auraient qu’à double-cliquer sur l’exe.

        > Exploitation of the code execution vulnerability requires low user interaction (open file)
        Si on va par là, lancer jevaisformatertondisquedur.exe en double cliquant dessus ne requiert ni plus ni moins d’interaction.

        > Successful exploitation of the remote code execution vulnerability
        “remote” ? On touche le fond là.

        > Je ne vais pas vous mentir, la position de l’éditeur me laisse assez perplexe
        Elle est pourtant parfaitement compréhensible.

        En caricaturant (à peine) je prends n’importe quel exe ; un coup de resedit et je lui mets l’icône d’un document Word ;
        Est-ce que tu vas titrer “Si vous tenez à votre PC n’installez pas Office” en indiquant que c’est scandaleux que Microsoft doit faire quelque chose
        que les gens ne sont pas assez instruits et qu’ils cliquent à tort et à travers sur des “documents” alors que ceux-ci ont l’extension “.exe”

        Répondre
  15. C’est domage de faire des articles aussi ininteressant sur un sujet si important qu’est la sécurité informatique des particuliers.

    C’est justement très domagable pour les particuliers de tomber sur ces sites qui ne sont pas capables d’expliquer clairement ce qu’il se passe.

    Je ne vais pas répéter tout ce qui a pu être dit dans les différents commentaires mais vous êtes tout de même responsable de la désinformations de ceux qui n’ont pas les compétences techniques pour comprendre et déceller dans votre article les abus ou pire les âneries.

    Quand je lis ” En d’autres termes, ce n’est pas uniquement la dernière version de l’outil qui est dangereuse.”

    je mets à la place de ma mère ou d’une autre personne aillant le même niveau de connaissances et je me dis … oula mais faut pas que j’utilise cet utilitaire.
    Vous vous êtes discrédité tout seul. C’est domage. Vous mentez à ceux qui ne sont pas capable de comprendre les tenants et aboutissants de cet outil. C’est honteux.
    Enfin comme d’hab, il faut toujours se méfier des journaleux d’internet (quoi j’ai pas le droit de faire des raccourcis moi aussi ?)

    Répondre
    • Bah, mon article est inintéressant et tu prends la peine de le commenter ? Tu dois vraiment t’ennuyer, non ?

      J’explique clairement le problème dans l’article. Si tu ne l’as pas lu, ce n’est pas de ma faute. Et tu parles de désinformation alors que le risque existe bel et bien. Après, tu es libre de remettre en cause mes compétences comme je suis libre de remettre en cause les tiennes.

      Tu peux te mettre à la place de qui tu veux. Les archives auto-extractibles sont dangereuses. Les options proposées par WinRAR le sont également. Au moins autant qu’un exécutable traditionnel et c’est important de le signaler. Point barre.

      Répondre
  16. Toute cette animosité dans les commentaires…

    Les gens qui ne sont pas d’accord et qui peuvent démontrer par A+B que l’article est inexact feraient mieux de s’exprimer plus poliment et ensuite ajouter leur pierre à l’édifice plutôt que d’incendier Fred ou n’importe quel autre rédacteur sur n’importe quel site que ce soit.
    Les commentaires sont ouverts pour créer un espace d’échange entre lui (eux) et nous, pas pour nous donner l’opportunité de cracher notre venin quand on aime pas un article ou que l’on estime savoir mieux que les autres (que ce soit vrai ou faux, peu importe).

    Bref, tout ça pour dire que j’ai lu l’article, j’ai aussi lu quelques commentaires et j’ai fini par me lasser de chercher à comprendre qui a tort ou raison.
    Les gars (filles inclues), comprenez que le journalisme n’est pas exempt d’erreurs, faux-pas et/ou étourderies,… mais aussi que la façon de présenter les choses laisse place à votre propre interprétation.

    Nul n’est infaillible.

    Et n’oubliez pas que si vous êtes tombés sur cet article c’est sans doute que vous faites partie des lecteurs réguliers du site et que, par conséquent, vous n’avez jamais eu à vous plaindre de son contenu.

    Soyez juste indulgents ou, si vous ne pouvez pas le faire, créez votre propre site/blog et donnez votre version de l’actu…

    Un lecteur blasé par les réactions de certaines personnes.

    Répondre
    • Je te remercie, ça fait vraiment du bien :)

      Et ça résume bien ma pensée en plus. Si les lecteurs ne sont pas d’accord avec l’article, ils peuvent effectivement le dire. Je suis le premier à apprécier les débats. Mais là, je t’avoue que ça m’a aussi pas mal blasé.

      Enfin, c’est aussi ça les internets.

      Merci encore en tout cas !

      Répondre
      • Mais je t’en prie ;)

        Il y avait trop de négativité et pas assez de soutien par ici, j’me devais donc de pousser un petit coup de gueule parce que j’imagine que, parmi tes lecteurs, il doit aussi y avoir d’autres personnes que moi qui en pensent autant mais qui n’osent pas forcément se confronter à la masse dominante (comme tu dis, “c’est aussi ça les internets”)…

        En tout cas merci pour le boulot effectué chaque jours sur ton site et pour le fait de prendre la peine de répondre à tes lecteurs.

        Répondre
        • Disons que s’il n’avait pas adopté un titre aussi sensationnel et que s’il n’avait pas sous-entendu que les devs de winrar traitent leurs utilisateurs avec légéreté, ce serait peut-être passé un peu mieux. Renvoyer sèchement ses contradicteurs à la lecture de son article ça n’aide pas non plus

          Répondre
          • Contradicteurs ? Je pense que nous n’avons pas la même notion de ce terme. Maintenant, j’ai laissé tout le monde exposer son point de vue et j’ai répondu à peu près à chaque commentaire, y compris aux plus agressifs.

            Et il y avait quelques uns qui poussaient le bouchon un peu loin.

            Maintenant, j’assume mon article et son titre.

            Répondre
    • Non, c’est n’importe quoi. Tu peux installer winrar sans problème. Ou 7zip. Le tout c’est de ne pas ouvrir des archives autoextractibles dont tu ne connais pas l’auteur. Faire preuve de bon sens quoi

      Répondre
  17. /! EXCLUSIF & DETONNANT /!

    J’ai découvert suite à mes recherches une faille (extrêmement) critique dans Windows (toutes versions!), et j’offre ici l’exclusivité de la nouvelle (qui va buzzer mondialement à n’en pas douter):

    Le lancement d’un exécutable (.com, .exe) sous Windows est susceptible de permettre l’exécution de code malveillant sur la machine !!!

    SVP répandez l’info sans tarder car des milliards de PC sont en grand danger !

    Répondre
    • L’info est crédible. Tu es libre de ne pas y croire mais le fait est que WinRAR et sa gestion des fichiers auto-extractibles présentent des risques.

      Répondre
  18. Le niveau de suffisance et d’agressivité dans les commentaires…

    Tous les fichiers, et pas seulement les exécutables, sont potentiellement risqués, et cliquer droit ou gauche (cf certains commentaires..) ne change rien.

    WinRAR permet de créer des fichiers SFX, auto-extractibles, pouvant exécuter du code à l’insu de l’utilisateur. Comme, par exemple, Microsoft Office, et VBA, qui permet d’exécuter du code à l’insu de l’utilisateur, à l’ouverture d’un classeur excel par exemple.

    Microsoft à permis la désactivation des macros. Un article “Si vous tenez à votre PC, désactivez par défaut l’execution des macros VBA.” serait-il honteux? Je ne pense pas. C’est d’ailleurs la position officielle de Microsoft.

    WinRAR pourrait s’assurer qu’une archive auto-extractible se contente … d’extraire (sandbox pour éviter la création de nouveaux processus et de nouveaux fichiers), mais il s’agit ici d’un comportement voulu, WinRAR souhaite que ses exécutables puissent faire d’autres tâches que la simple extraction.

    Bref, pas de problème et pas de faille donc, mais un logiciel qui est, comme dans le cas des softs VBA, un nid à malwares.

    Répondre
  19. Ouais enfin le mec répond à tous les commentaires. Il aurait aussi pu les couper ou vous laisser entre trolls.

    Je suis sur que la moitié des gars ici bossent pour winrar lol

    Répondre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.