L’outil d’archivage WinRAR a corrigé une vulnérabilité de haute gravité activement exploitée par des cybercriminels liés au groupe RomCom. Le correctif est disponible depuis la version 7.13. Les utilisateurs sous Windows doivent impérativement mettre à jour manuellement : faute d’auto-update, rester sur une version antérieure revient à laisser une porte dérobée sur son PC.
Les faits
WinRAR a comblé une faille dite de « traversée de répertoire » (directory/path traversal), cataloguée sous l’identifiant CVE-2025-8088. Gravité : élevée. Concrètement, une archive piégée pouvait forcer l’extraction de fichiers dans un emplacement choisi par l’assaillant plutôt que dans le dossier sélectionné par l’utilisateur. En pratique, cela autorisait le dépôt silencieux d’un exécutable dans des emplacements sensibles de Windows, dont les dossiers de démarrage automatique. Au prochain redémarrage, le programme malveillant se lançait de lui-même, ouvrant la voie à une prise de contrôle de la machine.
La découverte a été attribuée à une équipe de chercheurs d’ESET. Surtout, la faille n’est pas théorique : elle a été observée dans des attaques réelles, via des campagnes de courriels très ciblées (spear phishing) contenant des archives RAR spécialement construites. Les machines qui utilisaient une version vulnérable de WinRAR et extrayaient ces archives se retrouvaient compromises.
Qui est visé, qui attaque ?
Derrière l’exploitation de ce défaut, on retrouve RomCom, un acteur déjà documenté dans de nombreuses opérations d’espionnage et de cybercriminalité. Le groupe, connu également sous d’autres appellations selon les sociétés de sécurité (Storm-0978, Void Rabisu, Tropical Scorpius, UNC2596), pratique à la fois la collecte d’informations et les intrusions à but financier. Ses cibles privilégiées : les institutions publiques, les ministères, l’armée, les infrastructures critiques, mais aussi des organisations et entreprises occidentales liées « directement ou non » au soutien à l’Ukraine. Dans ses offensives, RomCom n’hésite pas à se faire passer pour des éditeurs de logiciels légitimes et à déployer des portes dérobées (backdoors) maison pour prendre la main durablement sur les hôtes infectés.
Pourquoi cette vulnérabilité est-elle si dangereuse ?
La technique de « traversée de répertoire » exploite la manière dont WinRAR interprète les chemins d’accès au moment de l’extraction. Une archive piégée pouvait contenir des fichiers « cachés » qui n’apparaissent pas forcément à l’écran, mais que l’outil déposait malgré tout au bon endroit… pour l’attaquant. Les chemins les plus prisés sont ceux qui assurent une exécution automatique : dossiers de démarrage de Windows (pour l’utilisateur ou pour toute la machine), mais aussi, dans certains scénarios observés, des répertoires temporaires employés comme tremplin vers la persistance.
Ajoutons que l’attaque ne requiert pas de compétences démesurées côté victime : il suffit d’ouvrir l’archive et de lancer l’extraction. Autre élément aggravant : WinRAR n’intègre pas de mécanisme de mise à jour silencieuse. Beaucoup d’utilisateurs conservent pendant des années une version périmée, sans se douter qu’elle est devenue vulnérable.
Ce que change la version 7.13
L’éditeur de WinRAR a livré un correctif qui neutralise ce détournement de chemin : la première version « saine » est 7.13. Le bulletin de publication précise que les moutures Windows de RAR/UnRAR et les bibliothèques associées étaient concernées, tandis que les déclinaisons Unix et Android ne le sont pas. Point important : un précédent correctif (publié en juin) avait déjà résolu une vulnérabilité de même famille, ce qui montre que la gestion des chemins dans les archives reste un angle d’attaque privilégié contre les outils d’extraction.
Comment savoir si vous êtes vulnérable (et vous protéger)
- Vérifiez votre version. Ouvrez WinRAR, puis « Aide » -> « À propos ». Si vous voyez une version 7.12 ou antérieure, vous êtes concerné.
- Mettez à jour immédiatement. Installez WinRAR 7.13 (ou une version ultérieure). L’opération est manuelle : WinRAR ne se met pas à jour tout seul. Sur un parc d’entreprise, déployez le correctif via votre outil de gestion (Intune, GPO, etc.).
- Faites le ménage. Après mise à jour, redémarrez puis contrôlez les dossiers de démarrage de Windows et les tâches planifiées. Supprimez toute entrée suspecte fraîchement apparue.
- Analysez le système. Lancez un scan complet avec votre antivirus/EDR, puis un second avis (Microsoft Defender en mode hors-ligne, par exemple).
- Redoublez de prudence. Ouvrez les archives RAR issues d’expéditeurs inconnus… comme vous traiteriez un exécutable : méfiance absolue. Même un fichier qui semble anodin peut dissimuler un chargeur malveillant.
Bonnes pratiques pour les joueurs, moddeurs et bidouilleurs
- Mods et cracks : ce sont des vecteurs historiques de malwares. Préférez des sources réputées et vérifiez les hashs publiés par la communauté.
- Streamers et créateurs : isolez vos téléchargements dans une machine virtuelle ou un Windows secondaire sans accès à vos mots de passe ni à vos clés d’API.
- Sauvegardes : un ransomware peut suivre. Gardez une sauvegarde hors-ligne et testez la restauration au moins une fois par trimestre.
- Alternatives : si vous n’avez besoin que d’extraire des archives, songez à des outils maintenus et gratuits (par exemple 7-Zip ou PeaZip) ou à l’extraction native de Windows 11 pour les formats courants.
BTMOB RAT : le nouveau malware Android qui inquiète la cybersécurité mondiale
Analyse : Une affaire qui dépasse le cadre « geek »
WinRAR est un logiciel omniprésent dans l’écosystème Windows depuis plus de vingt ans. Son installation est si banale qu’on l’oublie vite. Or, dans une chaîne d’attaque moderne, un simple outil d’archivage devient un cheval de Troie involontaire : l’utilisateur pense décompresser un document ; en réalité, il installe sans s’en apercevoir une porte dérobée qui survivra aux redémarrages et offrira un accès complet à l’attaquant.
Les groupes comme RomCom combinent désormais un premier accès discret (phishing ciblé, hébergement d’archives piégées) et un implant persistant qui sert ensuite à voler des identifiants, déployer d’autres malwares ou rebondir vers des environnements plus sensibles (messageries d’entreprise, serveurs internes, sauvegardes). La vulnérabilité corrigée par WinRAR 7.13 s’inscrit parfaitement dans ce schéma.
Déjà un précédent ce printemps
Fin juin, l’éditeur avait déjà corrigé une autre faille de gestion des chemins d’archives (CVE-2025-6218) dans la version 7.12. Cette répétition souligne deux leçons :
- Les parseurs d’archives sont une cible de choix. Ils manipulent des formats complexes et d’innombrables cas limites.
- La dette de mise à jour est une faille en soi. Entre une version qui n’alerte jamais l’utilisateur et une autre qui demande une action manuelle, la surface d’attaque reste ouverte des mois durant.
Que faire si vous pensez avoir été piégé ?
- Débranchez d’Internet le temps de l’analyse si vous avez un doute sérieux.
- Contrôlez les dossiers de démarrage (utilisateur et machine), la Planification de tâches, les clés Run/RunOnce du Registre et le dossier %TEMP% pour repérer des exécutables récents que vous n’expliquez pas.
- Changez vos mots de passe si vous constatez des comportements anormaux (navigateur, clients mail, Discord, Steam…). Activez l’authentification à deux facteurs.
- Sur un poste sensible, privilégiez une réinstallation propre si l’EDR/antivirus remonte une compromission confirmée.
- Prévenez vos contacts en cas d’envoi automatique de pièces jointes ou de messages inhabituels : cela limite la propagation.
En trois points, à retenir
- Une vulnérabilité sévère de WinRAR a été exploitée activement pour installer des backdoors lors de l’extraction d’archives.
- Le correctif est disponible : WinRAR 7.13 est la première version non vulnérable sous Windows.
- Action immédiate requise : mettez à jour manuellement et traquez tout élément suspect dans les emplacements d’exécution automatique.
Télécharger la version sécurisée de WinRAR 7.13