Une grave vulnérabilité de sécurité a été découverte dans WinRAR pour Windows et les utilisateurs doivent immédiatement mettre à jour vers la dernière version. La vulnérabilité, identifiée comme CVE-2025-8088, a été exploitée dans de véritables attaques de phishing. Un attaquant pourrait exploiter cette vulnérabilité pour créer un fichier d'archive malveillant, plaçant son contenu dans des emplacements non autorisés sur le système de la victime, y compris des dossiers Windows qui exécutent automatiquement les programmes au démarrage.

Une fois qu'un fichier malveillant est placé dans ces dossiers, il peut installer des logiciels malveillants ou ouvrir des portes dérobées cachées sans aucune autre action de la part de l'utilisateur.

Normalement, WinRAR ne doit extraire les fichiers que dans le dossier de destination spécifié par l'utilisateur. Cependant, la vulnérabilité, qui est classée comme vulnérabilité de traversée de chemin, pourrait inciter le logiciel à placer des fichiers dans des emplacements système hautement sensibles, tels que le dossier de démarrage de Windows pour un utilisateur individuel ou pour tous les utilisateurs de l'ordinateur.

Les logiciels malveillants placés à ces emplacements s'exécutent automatiquement à chaque redémarrage de l'ordinateur, permettant aux attaquants de continuer à contrôler l'appareil. Ce problème affecte les versions Windows de WinRAR et les outils associés, notamment RAR, UnRAR, Portable UnRAR Source et UnRAR.dll. Les versions Unix ou Android ne sont pas concernées.

La vulnérabilité a été découverte par les chercheurs en sécurité d'ESET Anton Cherepanov, Peter Košinár et Peter Strýček. Leur enquête a révélé qu'un groupe de pirates informatiques connu sous le nom de RomCom (également connu sous le nom de Storm-0978, Tropical Scorpius ou UNC2596) a activement exploité cette vulnérabilité pour mener des attaques de spear phishing.

Dans ces attaques, les victimes reçoivent des e-mails contenant des fichiers RAR infectés. Lorsque ces fichiers malveillants sont ouverts à l'aide d'anciennes versions de WinRAR, ils déploient des logiciels malveillants RomCom qui peuvent voler des informations sensibles, installer des logiciels malveillants supplémentaires et fournir un accès caché à long terme aux systèmes infectés.

RomCom a été lié au cyberespionnage russe et est connu pour exploiter des vulnérabilités logicielles non divulguées à des fins d'espionnage et d'attaques de ransomware. Le malware utilise généralement des communications cryptées et est caché dans des outils système légitimes, conçus pour échapper à la détection de sécurité.

Pour résoudre ce problème, les développeurs de WinRAR ont publié la version finale 7.13 le 30 juillet 2025. Cette mise à jour empêche les fichiers d'archive de placer le contenu en dehors de l'emplacement d'extraction spécifié par l'utilisateur et corrige quelques bugs mineurs sans rapport. Cependant, WinRAR ne se met pas à jour automatiquement : les utilisateurs doivent télécharger et installer manuellement les nouvelles versions depuis le site officiel.

Avec plus de 500 millions d'utilisateurs dans le monde, WinRAR est une cible clé pour les cybercriminels. Ce n'est pas la première faille de sécurité à apparaître dans le logiciel ces derniers mois ; une autre vulnérabilité impliquant des fichiers d’archives malveillants a également été corrigée en 2025.

Les experts en sécurité soulignent l'importance de maintenir WinRAR à jour. Ils recommandent également d'être prudent lors de l'ouverture des pièces jointes d'e-mails provenant d'expéditeurs inconnus, d'utiliser un logiciel antivirus capable de détecter les menaces cachées dans les fichiers d'archives et de vérifier régulièrement les dossiers de démarrage à la recherche de fichiers inconnus, car ces fichiers sont des points d'entrée courants pour les logiciels malveillants.