Une faille zero-day dans WinRAR, activement exploitée par des pirates informatiques russes, permet d'installer des portes dérobées sur les PC Windows,

Et nécessite une mise à jour manuelle pour être corrigée

Une faille zero-day dans WinRAR, activement exploitée par des pirates informatiques russes, permet d'installer des portes dérobées sur les PC Windows
et nécessite une mise à jour manuelle pour être corrigée

Des chercheurs en sécurité d'ESET ont découvert une faille zero-day dans le logiciel d'archivage de fichiers WinRAR. Cette vulnérabilité pourrait permettre l'installation d'un logiciel malveillant de type backdoor sur les PC Windows. Elle serait activement exploitée par le groupe de pirates informatiques RomCom, lié à la Russie. La faille a été corrigée dans la version 7.13 de WinRAR. Étant donné que WinRAR ne propose pas de mise à jour automatique, il est impératif que les utilisateurs effectuent une mise à jour manuelle vers cette version pour se protéger contre cette faille. La vulnérabilité est référencée sous le nom CVE-2025-8088 (score CVSS : 8,4).

WinRAR est un utilitaire de compression et décompression de fichiers très répandu sur Windows. Il sert à compresser plusieurs fichiers ou dossiers en un seul, afin qu’ils prennent moins de place ou soient plus faciles à transférer, et à les décompresser ensuite pour retrouver leur forme d’origine. WinRAR permet également aux utilisateurs de protéger leurs archives avec un mot de passe. L'utilitaire prend en charge les formats d'archives tels que RAR et ZIP.

Un groupe de pirates informatiques russes a été observé en train d'exploiter une vulnérabilité zero-day dans WinRAR dans le cadre d'une campagne de cyberespionnage visant des organisations en Europe et au Canada. Cette faille est référencée sous le nom CVE-2025-8088, avec un score CVSS de 8,4.

La société de cybersécurité ESET a découvert ces attaques et signalé la vulnérabilité aux développeurs de WinRAR. Elle a été corrigée dans une mise à jour publiée le 30 juillet. Une version bêta contenant le correctif a été mise à disposition le 25 juillet, un jour après la notification d'ESET. Les attaques impliquant CVE-2025-8088 ont été menées par un acteur de la menace lié à la Russie nommé RomCom (alias Storm-0978, Tropical Scorpius et UNC2596).


La vulnérabilité a été décrite comme une faille de traversée de chemin (également connue sous le nom de « path traversal » ou « directory traversal ») impliquant l'utilisation de flux de données alternatifs. Elle permet à un attaquant de créer des archives spécialement conçues qui obligent WinRAR à extraire des fichiers vers un chemin défini par l'attaquant plutôt que vers le chemin spécifié par l'utilisateur. Les notes de version de WinRAR 7.13 indiquent :

En exploitant la vulnérabilité CVE-2025-8088, les pirates informatiques peuvent placer des fichiers exécutables dans des répertoires d'exécution automatique, tels que le dossier Démarrage de Windows situé à l'emplacement suivant :

Cela permet aux fichiers malveillants de s'exécuter automatiquement au prochain démarrage du système, offrant ainsi aux pirates une voie d'accès pour l'exécution de code à distance. WinRAR ne disposant pas d'une fonctionnalité de mise à jour automatique, il est fortement à tous les utilisateurs du WinRAR de télécharger et d'installer manuellement la dernière version depuis l'adresse "win-rar.com" afin de se protéger contre cette vulnérabilité.

La vulnérabilité CVE-2025-8088 a été activement exploitée

La faille a été découverte par les chercheurs Anton Cherepanov, Peter Košinár et Peter Strýček, d'ESET. L'équipe a déclaré avoir observé des emails de spearphishing contenant des pièces jointes sous forme de fichiers RAR destinés à diffuser les portes dérobées RomCom. « ESET a observé des emails de spearphishing contenant des pièces jointes sous forme de fichiers RAR », a déclaré Peter Strýček à BleepingComputer, un média centré sur la cybersécurité.

RomCom est un groupe de cybercriminalité et de cyberespionnage lié à la Russie. Apparu vers le milieu de l'année 2022, RomCom ciblait principalement des entités en Ukraine, notamment le gouvernement, l'armée, les infrastructures énergétiques et hydrauliques. Aujourd'hui, il a élargi son champ d'action pour inclure des organisations et des cibles aux États-Unis, en Europe et à l'échelle internationale liées aux efforts humanitaires en faveur de l'Ukraine.

Une faille similaire avait été repérée en juin 2025, lorsque le chercheur en sécurité indépendant « whs3-detonator » avait signalé CVE-2025-6218 à la Zero Day Initiative de Trend Micro. Cette faille à haut risque dans WinRAR provenait d'une gestion défaillante des chemins d'accès aux fichiers d'archive, qui permettait aux pirates de créer des archives malveillantes contournant les limites d'extraction et déposant des fichiers à des emplacements non prévus.

Selon la société de cybersécurité russe Bi.zone, les vulnérabilités CVE-2025-6218 et CVE-2025-8088 ont récemment été exploitées par un acteur malveillant (qu'elle suit sous le nom de Paper Werewolf) pour cibler des organisations en Russie, notamment un fabricant d'équipements. Par ailleurs, ESET a annoncé que l'entreprise travaille actuellement sur un rapport concernant cette exploitation, qui sera publié à une date ultérieure.

Conclusion

La vulnérabilité CVE-2025-8088 a été corrigée dans WinRAR 7.13. Étant donné que WinRAR ne propose pas de mise à jour automatique, il est impératif que les utilisateurs effectuent une mise à jour manuelle vers cette version pour se protéger contre cette faille. Par ailleurs, certains soulignent le fait que WinRAR est souvent confronté à des failles critiques et conseillent aux utilisateurs d'adopter des alternatives libres et open source tels que 7-Zip.

Toutefois, il est important de souligner que 7-Zip est un logiciel développé par un Russe, notamment le programmeur Igor Pavlov. Sa nature open source permet néanmoins à n'importe qui d'inspecter le code. Entre autres alternatives à WinRAR, nous pouvons citer des programmes tels que WinZip et PeaZip.

En 2023, Microsoft a annoncé qu'il travaille à ajouter à Windows le support natif des formats d'archives tar, 7-zip, RAR, gz et de nombreux autres formats. Microsoft n'a pas concocté un nouveau utilitaire, mais s'est appuyé sur le projet open source "libarchive" pour y parvenir. Cette initiative offre aux utilisateurs de Windows un outil natif, ce qui signifie qu'ils n'auront plus besoin de télécharger des outils tiers et d'esquiver les logiciels malveillants.

Sources : WinRAR 7.13, CVE-2025-8088

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la vulnérabilité CVE-2025-8088 dans l'utilitaire WinRAR ?

Voir aussi

De nouvelles failles critiques dans Linux permettent aux pirates d'accéder aux droits root via des vulnérabilités PAM et udisks qui affectent un large éventail de systèmes Linux, selon un rapport de Qualys

58 % des employés sont victimes d'arnaques par phishing mobile et d'usurpation d'identité de dirigeants, les responsables de la sécurité ayant une confiance excessive dans leurs capacités et dans les employés

Microsoft poursuivi en justice pour avoir cessé le support de Windows 10 : la stratégie de « obsolescence forcée » de Microsoft constituerait une « tentative de monopolisation du marché de l'IA générative »