Dans le domaine complexe de l’espionnage informatique, WinRAR, un outil de compression de fichiers largement utilisé, est devenu la cible d’attaques sophistiquées. Une vulnérabilité critique de type “zero-day”, identifiée sous le nom de CVE-2025-8088, a été exploitée par au moins deux groupes de hackers, leur permettant de manipuler les chemins de fichiers lors de l’extraction et potentiellement d’installer des logiciels malveillants sur les systèmes des victimes à leur insu.
Cette vulnérabilité provient de la gestion par WinRAR des flux de données alternatifs dans des archives spécialement conçues, permettant une traversée de chemin qui contourne les répertoires prévus. Les attaquants peuvent intégrer des charges utiles malveillantes qui s’exécutent lors de l’extraction, transformant la gestion de fichiers de routine en une menace potentielle pour la sécurité. Le groupe de hackers aligné sur la Russie, RomCom, a été identifié comme un acteur clé exploitant cette faille, utilisant des tactiques de phishing pour livrer des fichiers RAR contaminés. Le logiciel malveillant établit alors une persistance, déployant souvent des portes dérobées pour une infiltration plus poussée.
RomCom est connu pour son historique d’exploitation de failles “zero-day”, ayant précédemment ciblé des vulnérabilités dans Microsoft Word et Firefox. Leur focalisation sur des cibles de haute valeur dans les secteurs de la finance, de la défense et de la logistique à travers l’Europe et le Canada souligne leur intention stratégique.
Un autre groupe, Paper Werewolf, a également été lié à des attaques contre des entités russes utilisant la même vulnérabilité. Les opérations de ce groupe suggèrent un possible chevauchement avec RomCom, bien que leurs motivations semblent être de l’espionnage industriel parrainé par l’État.
L’exploitation de cette vulnérabilité a suscité des préoccupations importantes quant à sa potentielle propagation. Les développeurs de WinRAR ont publié une mise à jour pour corriger le problème, exhortant les utilisateurs à mettre à jour immédiatement. Cependant, la faille affecte non seulement l’application principale mais aussi des utilitaires connexes comme UnRAR.dll, augmentant les risques dans les environnements d’entreprise où des logiciels obsolètes peuvent persister.
Cet incident souligne les dangers des logiciels tiers dans les chaînes d’approvisionnement. Les organisations sont encouragées à prioriser l’application des correctifs et à mettre en œuvre des mesures de sécurité supplémentaires telles que l’analyse comportementale et le sandboxing pour atténuer les risques. Le défi reste d’anticiper comment des groupes comme RomCom pourraient faire évoluer leurs tactiques, potentiellement en enchaînant des zero-days dans des attaques en plusieurs étapes.
Ce n’est pas la première rencontre de WinRAR avec des vulnérabilités “zero-day” ; un problème similaire en 2023 avait été exploité pour cibler des comptes de trading. Ces vulnérabilités récurrentes mettent en évidence des faiblesses persistantes dans les protocoles de gestion des fichiers, incitant les développeurs à renforcer leurs pratiques de sécurité.
Alors que les menaces cybernétiques s’entrelacent de plus en plus avec les tensions géopolitiques, les leaders de l’industrie sont encouragés à renforcer les efforts de partage de renseignements. Avec des groupes comme RomCom et Paper Werewolf affinant leurs capacités, les défenseurs doivent rester vigilants pour s’assurer que les outils du quotidien ne deviennent pas des participants involontaires dans la guerre numérique.
