Le célèbre utilitaire WinRAR est victime d'une nouvelle vulnérabilité zero-day qui est déjà exploitée dans des attaques ciblées. Les utilisateurs sur Windows sont invités à installer au plus vite la dernière version 7.13.
Une faille dans la gestion des fichiers
Identifiée en tant que CVE-2025-8088, la vulnérabilité de sécurité est de type « path traversal » et implique. Sur le principe, une archive RAR spécialement conçue peut tromper WinRAR lors de la décompression. Au lieu d'extraire les fichiers dans le dossier choisi par l'utilisateur, l'archive les place dans un emplacement défini par l'attaquant.
Les attaquants peuvent ainsi déposer un fichier exécutable directement dans le dossier de démarrage de Windows. En conséquence, le programme malveillant se lancera automatiquement au prochain redémarrage ou à la prochaine connexion de l'utilisateur, offrant aux attaquants une porte d'entrée pour une exécution de code à distance.
Des cybercriminels russes déjà à la manœuvre
Des chercheurs en sécurité de ESET ont tiré la sonnette d'alarme après avoir repéré une exploitation active. Le groupe de hackers derrière ces attaques est connu sous le nom de RomCom (aussi suivi comme Storm-0978), une entité alignée sur la Russie et déjà liée à des opérations de ransomware et de vol de données.
Les experts ont observé des campagnes de phishing par e-mail contenant des archives RAR piégées. Selon ESET, « ces archives exploitaient la vulnérabilité CVE-2025-8088 pour livrer des portes dérobées RomCom ».
L'affaire rappelle d'autres failles similaires qui ont affecté WinRAR par le passé, dont certaines ont été massivement exploitées par des groupes chinois et russes. Des soupçons pèsent même sur l'achat d'un exploit pour cette faille sur le Dark Web par un groupe baptisé Paper Werewolf.
La mise à jour manuelle : seule solution
Les développeurs de WinRAR ont publié la version 7.13 le 30 juillet 2025 pour combler la faille. Le problème majeur est que l'utilitaire, utilisé par plus de 500 millions de personnes, n'intègre pas de fonction de mise à jour automatique.
Chaque utilisateur doit donc se rendre manuellement sur le site officiel de l'éditeur pour télécharger et installer la dernière version. Continuer à utiliser une version antérieure à la 7.13, c'est potentiellement laisser une porte grande ouverte aux attaquants.
